报告由百度安全 XTeam 攻防实验室发布,聚焦智能驾驶系统的安全攻防实战,从硬件架构、网络攻击面、模型算法到芯片安全、车路协同,全面拆解智驾领域的安全漏洞与攻防路径,揭示行业核心安全风险。
⠀
智能驾驶系统因复杂度高、供应链长、设备昂贵,成为漏洞高发领域:多系统集成(如 Ubuntu、Android、QNX 等)、多供应商协作(高通、移远等)导致攻击面扩大;其安全性直接关联生命财产安全,控车权限沦陷风险极高。研究价值在于挖掘真实场景漏洞、优化攻防技术,填补行业安全防护空白。
⠀
- 硬件获取:通过公开渠道采购智驾域控、网关控制器等核心部件,覆盖多品牌车型。
- 资料收集:从在线平台获取 5000 + 车型的维修手册、电路图、接口定义等原厂资料,含智驾模块安装位置、CAN 总线协议等关键信息,部分资料通过付费打包或二手渠道获取。
- 架构演化漏洞:传统汽车单 MCU 结构升级为 “MCU+Linux + 以太网” 架构,网关控制器作为核心枢纽,连接动力、底盘、车身等多路 CAN 总线,一旦突破 TBox(车联网控制器),可通过以太网渗透全车系统。
- TBox 安全隐患:部分 Tier1 厂商产品存在栈溢出、命令注入漏洞,如 4G 进程 memcpy 函数溢出、FTP 协议命令注入,影响多个品牌全系车型。
- 域控防护缺失:智驾域控进程监听多个端口却无防火墙防护,可通过发送恶意指令实现远程代码执行(RCE),控制车辆核心功能。
- 通信协议缺陷:CAN 总线 ECU 间通过报文 ID 广播通信,缺乏身份认证,攻击者可通过 CAN 报文重放、伪造实现控车。
- 供应商密钥风险:部分零部件供应商未更新芯片预置 RSA 密钥对,攻击者可构造合法固件,通过 OAD(空中下载)实现芯片任意代码执行,进而构造 CAN 报文控制车身。
- 实战案例:通过蓝牙模组漏洞突破 BDCAN 车身域,实现近场未授权控车,可操控门锁、灯光、转向等功能。
- 模型加密短板:智驾核心模型(格式含.trt/.onnx/.pth 等)依赖 Nvidia 安全存储机制,但存在备份密钥泄露风险,可通过逆向工程解密模型。
- 仿真推理难点:TensorRT 版本兼容性严苛,Drive OS 封闭系统需 NDA 授权,普通研究者难以获取开发环境;模型推理需匹配特定 SDK 与插件,版本不匹配将导致 deserialization 失败。
- 模型攻击路径:通过逆向感知程序后处理逻辑,解析模型输入输出格式,可篡改图像数据、伪造目标检测结果,影响智驾决策。
- TEE 环境介绍:可信执行环境(TEE)作为安全隔离区域,存储密钥、密码等敏感数据,但智驾芯片基于 OP-TEE 二次开发时,存在权限管控漏洞。
- 核心漏洞:open_session 过程中偏移量校验不严、secsave_store 函数整数溢出、secondary_key_import 越界访问等,攻击者可突破隔离限制,实现任意地址读取或特权调试。
- 通信协议风险:V2X 采用 PC5 链路(5905Mhz~5925Mhz 频段)传输 BSM(基础安全消息)、SPAT(交通信号灯消息)等,缺乏加密防护。
- 攻击场景:BSM 消息广播导致车辆轨迹、位置等隐私数据泄露;通过伪造 SPAT 消息欺骗交通信号灯状态,干扰智驾决策。
- 强化供应链安全:统一密钥管理标准,要求供应商更新预置密钥,加强固件签名校验。
- 完善网络防护:为域控进程部署防火墙,限制端口访问,对 CAN 报文添加身份认证与加密机制。
- 优化模型安全:启用全盘加密与 SELinux 防护,提升模型逆向难度;规范 TensorRT 版本适配,加强推理环境权限管控。
- 加固 TEE 机制:修复整数溢出、越界访问等漏洞,严格校验 session 建立参数,强化安全世界与普通世界隔离。
- 加强 V2X 防护:对传输消息进行加密与签名,防止数据泄露与伪造攻击。
