OAT升級流程

OTA作為汽車軟體升級的新型方式，升級流程大致分為：

1. 企業推送OTA升級包，車端與OTA雲伺服器建立安全連線，一般將待更新的韌體傳輸到車輛的 T-box（或者其他聯網部件），再傳輸給 OTA Manager。

2. OTA Manager管理ECU升級過程，負責將韌體分發到ECU，並告知ECU何時執行更新。

3.ECU更新完成後，OTA Manager通過T-box（或者其他聯網部件）向雲伺服器傳送確認。

OTA常見風險

OTA安全風險存在於升級的各個流程，常見的安全風險有云伺服器安全風險、傳輸安全風險、通訊協議安全風險、車端安全風險、升級包篡改風險等。

1. 伺服器安全風險

OTA雲伺服器主要進行升級包製作、軟體管理、策略及任務管理等。OTA雲伺服器與其它雲平臺一樣，容易遭受DDoS攻擊、MITC攻擊、跨雲攻擊、編排攻擊、加密劫持等，可能導致使用者敏感資訊洩露、推送的升級包被篡改、升級策略更改等風險。

2. 傳輸安全風險

OTA雲服務推送軟體升級包到車端的過程，若採用弱認證方式或明文傳輸，容易遭受中間人攻擊、竊聽攻擊等，黑客可進一步獲取升級包進行解析、篡改升級包資訊等，可能導致關鍵資訊洩露、程式碼業務邏輯洩露等風險。

3. 通訊協議安全風險

雲端與車端的通訊過程若採用不安全的通訊協議或通訊過程不採用認證機制、明文通訊等，容易遭受中間人攻擊、竊聽攻擊、重放攻擊、DoS攻擊等，可能導致車端升級資訊錯誤、敏感資訊洩露、拒絕服務等風險。

4. 車端安全風險

車端獲取到升級包後會進入升級流程。若載入程式、系統程式、OTA版本號等固定引數可信驗證策略不安全或缺失，可能導致車端執行惡意系統，造成隱私洩露、財產損失等風險。此外，車端系統出現公開漏洞，若不及時進行修復，可能導致黑客利用漏洞進行攻擊，造成車輛、財產乃至人身安全風險。

5. 升級包篡改風險

篡改或偽造升級包後傳送到車端，若車端升級流程缺少必要的驗證機制或驗證機制存在漏洞，篡改或偽造的升級包可順利完成升級流程，可達到篡改系統、植入後門等惡意目的。

OTA安全測試案例

1、通過除錯工具進入車機系統後，發現數據庫檔案存在TSP平臺資訊洩露。可以看到OTA升級地址。

雲平臺資訊洩漏

2、對該雲平臺嘗試進行滲透。發現開放某埠，且需要證書進行連線。

雲平臺滲透

3、發現採用了明文MQTT協議進行傳輸。嘗試接入，發現可連線並可訂閱相關訊息。

通訊協議抓取

4、使用漏洞掃描工具對IVI進行漏洞掃描。發現DHCP伺服器存在檢測漏洞，低危。

系統漏洞掃描

5、篡改升級包，嘗試盡進行本地升級。修改相關檔案關鍵資訊，升級包無法正常啟動。

升級包篡改