Telematics BOX，簡稱 T-BOX，也稱遠程信息處理控制單元（Telematics Control Unit, TCU），集成GPS、外部通信接口、電子處理單元、微控制器、移動通信單元和存儲器等功能模塊。

TBOX 提供的功能有網(wǎng)絡接入、OTA、遠程控制、位置查詢/車輛追蹤、電池管理、位置提醒、eCall、遠程診斷、平臺監(jiān)控/國家監(jiān)管等。

網(wǎng)絡接入

作為車端與車聯(lián)網(wǎng)連接的入口，給車機等提供上網(wǎng)服務。

OTA

傳統(tǒng)更新汽車軟件的做法是到 4S 店通過 OBD 對相應的 ECU 進行軟件升級、通過 USB 等接口對信息娛樂系統(tǒng)進行升級。伴隨著智能汽車的發(fā)展，本地升級已不再適應高速變化的車載生態(tài)，當下 OTA 在汽車也得了廣泛的應用。

汽車遠程升級（Over-The-Air，OTA），指替代線纜或者其它本地連接方式，通過無線傳輸方式進行軟件下載和軟件更新的過程。OTA 常見類型包括SOTA（Software OTA，應用軟件升級）和COTA（Config OTA，配置更新）、 FOTA（Firmware OTA，固件升級）。通過 OTA 能夠為車端添加新功能、修復漏洞等。

SOTA:?軟件升級，面向車載端上的應用軟件升級。

COTA:?配置升級，面向車端端上的配置升級。

FOTA:?固件升級，面向車端上的固件升級，實現(xiàn)對對動力域、底盤域、輔助駕駛域、信息娛樂域和車身域在內(nèi)的重大功能更新。

OTA 主要涉及兩端，后臺管理和客戶端。后臺管理包括升級包上傳、版本控制、升級流程監(jiān)控與統(tǒng)計、應用與數(shù)據(jù)升級等；客戶端包括定時檢查更新、手動檢查更新、安全下載、斷點續(xù)傳、升級包校驗等。

當下也涌現(xiàn)一批 OTA 解決方案供應商 ，如艾拉比、科絡達、紅色石頭、INTEST、Excelfore eSync、哈曼、弗吉亞、安波福等。目前 OTA 國家強制標準《汽車軟件升級 通用技術要求》也在制定之中。

遠程控制

使用移動應用程序控制車門開關、調(diào)節(jié)空調(diào)等。手機應用首先將指令發(fā)給服務端，然后服務端將指令交由 TBOX 來執(zhí)行，TBOX 通過主連接器上的 CAN 總線等將指令傳送給 ECU 執(zhí)行。

位置查詢/車輛追蹤

提供車輛的實時定位信息，可通過手機應用查詢車輛的實時位置以及歷史軌跡。

電池管理

對電池的實時監(jiān)控、管理、維護。

位置提醒

為車主提供維護保養(yǎng)、駕駛風格建議，提高用戶車主的用車體驗。

eCall

eCall(Emergency Call，緊急呼叫) 包括道路救援、自動碰撞通知(ACN)等。

歐盟在 2017 年底強制要求所有的上市新車配備汽車緊急呼叫系統(tǒng) eCall。國際標準（ETSI TS 126 267,）規(guī)范了 eCall 數(shù)字通道傳輸 MAD (Minimum Set of Data，最小數(shù)據(jù)集）包括位置、車型和事故嚴重度的數(shù)據(jù)格式，以及同步語音通道與 PSAP（Public Safety Answer Point，公共安全應答中心）的呼叫優(yōu)先級。

eCall 支持手動觸發(fā)、自動觸發(fā)兩種方式。手動 eCall 功能可通過實體按鍵（車頂?shù)囊粋€紅色按鈕，通常標記為SOS）觸發(fā)；自動 eCall 功能指車輛發(fā)生碰撞后安全氣囊彈出的情況下，TBOX 接收碰撞信號后自動撥通救援電話的一種功能。eCall 撥通后，后臺會根據(jù)車輛位置，及時提供安排相應的救援服務。

eCall 是歐洲標準，俄羅斯也推出了類似方案 ERA GLONASS。國內(nèi)方面，目前并相關無強制法規(guī)要求。

遠程診斷

指汽車在啟動時，獲知汽車的故障信息，并把故障碼上傳至數(shù)據(jù)處理中心。系統(tǒng)在不打擾車主的情況下復檢故障信息。在確定故障后，并實施遠程自動消除故障，無法消除的故障以短信方式發(fā)送給車主，使車主提前獲知車輛存在的故障信息，防范于未然。既車輛不用返回 4S 店，對車身控制系統(tǒng)、車載系統(tǒng)等進行升級快速修復系統(tǒng)缺陷。在數(shù)據(jù)采集分析基礎上，通過增加無線通信設備，實現(xiàn)數(shù)據(jù)遠程上傳到云端服務器，分析人員從云端服務器下載數(shù)據(jù)后分析。 基于遠程軟件控制經(jīng)銷商診斷設備診斷車輛，同時可以通過攝像頭、話筒等設備獲得維修現(xiàn)場音像信息。

平臺監(jiān)控/國家監(jiān)管

利用已經(jīng)安裝在車輛上的車載通訊單元（ TBOX）實現(xiàn)將國家要求的高壓電相關靜態(tài)數(shù)據(jù)、動態(tài)數(shù)據(jù)和故障狀態(tài)實時傳輸?shù)秸脚_。 相應的國家標準為 《GB/T 32960-2016 電動汽車遠程服務與管理系統(tǒng)技術規(guī)范》，從2017年4月1日起，所有新能源汽車必須強制實行國標 GB/T 32960。平臺和車型通過認證的證書如下。

新能源汽車上的數(shù)據(jù)實時傳輸給企業(yè)安全檢測平臺，然后由企業(yè)平臺上報地方監(jiān)管平臺和國家監(jiān)管平臺。

.png)

企業(yè)監(jiān)測平臺一般稱之為 RTM(實時監(jiān)控)系統(tǒng)。RTM 系統(tǒng)發(fā)送信息的路徑，FCM(Forward Collision Mitgation system,前方碰撞預防輔助制動系統(tǒng)) 負責收集 4 路 CAN 線的信息，過濾后通過 RTM-CAN 發(fā)送給 TBOX3，最后 TBOX3 通過天線將信號發(fā)送到后臺服務器。

總結

本文總結了 TBOX 的主要功能，原本是下一篇文章?車聯(lián)網(wǎng)安全基礎知識之大眾J949(TBOX/TBOX)?中的一部分。原文太長，看起來太累，于是拆分成了兩篇。下一篇將在不久后發(fā)出。

現(xiàn)在很多做車聯(lián)網(wǎng)安全的主要精力停留在攻破系統(tǒng)上，在對業(yè)務漏洞的挖掘上往往不夠深入。不深入的原因是多種多樣的，一是測試時間往往較短，沒有時間對業(yè)務進行完整的檢測。另一方面缺乏廠商配合，很多檢測項目很難開展。最后還與測試人員對業(yè)務的了解程度有關，當前車聯(lián)網(wǎng)安全仍處于早期，有很多知識測試人員未必掌握。作為在車聯(lián)網(wǎng)安全一線上的我，當然要充實自己。于是寫這篇文章，梳理 TBOX 主要的業(yè)務，為后續(xù)安全檢測和漏洞挖掘打好基礎。

大眾J949(OCU/TBOX)

OCU(Online Connectivity Unit）既緊急呼叫模塊和通信單元。其他車上的同類模塊在國內(nèi)通常稱之為 TBOX(Telematics BOX)。國外多稱之為 TCU(Telematics Control Unit)。

OCU 具有一個固定的內(nèi)置SIM卡， 用于登錄移動網(wǎng)絡。 它的作用是發(fā)送和接收 Car-Net e-Remote 服務的數(shù)據(jù)和命令。 通過無線網(wǎng)絡實現(xiàn)永久的互聯(lián)網(wǎng)連接， 確保后臺和車輛之間的數(shù)據(jù)傳輸， 即使在關閉點火開關后也可以接收、 處理和執(zhí)行命令。OCU 是車聯(lián)網(wǎng)系統(tǒng)系統(tǒng)中最重要的組件之一。

主要功能

OCU 的功能和其他 TBOX 功能相似，詳情見?車聯(lián)網(wǎng)安全基礎知識之TBOX主要功能。

4 代 OCU 硬件分析

第一代 OCU1 出現(xiàn)在 2012 年，現(xiàn)已經(jīng)歷四次迭代，當前最新版本第四代 OCU4。OCU 的供應商為 LG，第一代在越南制造，第三代在中國或越南制造。第四代由越南制造。OCU 從第 3 代起開始逐步支持車載以太網(wǎng)。

OCU 安裝在儀表板后面，附帶備用電池和備用天線。外接有蜂窩網(wǎng)絡天線和 GNSS 定位天線，部分版本還有 Wi-Fi 天線。增加備用電池、內(nèi)置揚聲器和內(nèi)置通訊天線來增強 OCU 的健壯性，避免出現(xiàn)整車斷電無法撥打 eCall 的情況。主連接器中，有電源、調(diào)試接口、CAN、以太網(wǎng)、音視頻等接口。

對外通信方面，OCU 使用內(nèi)置 eSIM 卡，支持的頻段在不同國家存在一定的差異。GNSS 定位支持所有主流的定位系統(tǒng)，包括 GPS、Glonass、Beidou、SBAS 以及 Galileo。

OCU4-TLVHE4IU

2019 年推出最新的第四代 OCU。今年大眾推出的 ID.4 就使用了最新的 OCU4。

TLVHE4IU-N

OCU4 高配，不支持藍牙和 Wi-Fi。使用的主要芯片如下 。

• 通信模組：Qualcomm MDM9240，支持的頻段包括GSM 850/1900、UMTS B2/B4/B5/*B6、LTE FDD B2/B4/B5/B12/B13/B17/B29(RX)；
• MCU：?英飛凌 Tricore?SAK-TC234LE-32F200F AB,有豐富的接口 1x FlexRay，2x LIN，4x QSPI，6x CAN，包括數(shù)據(jù)速率增強的 CAN FD；

TLVHE4IU-E

不支持藍牙和 Wi-Fi。使用的主要芯片如下。

• 通信模組：Qualcomm MDM9240，支持頻段 LTE FDD B7。
• MCU：?英飛凌 Tricore?SAK-TC234LE-32F200F AB,有豐富的接口 1x FlexRay，2x LIN，4x QSPI，6x CAN，包括數(shù)據(jù)速率增強的 CAN FD；

OCU3-TLVHM3IU/TLVLM3IU

OCU3 的 PCB 板大體結構相似，主要由一個通信模組以及一個用于和總線交互的 MCU 組成，剩下就是按需配置的以太網(wǎng)橋、Wi-Fi 芯片等。剩下的就是一些基礎的電路模塊如電源管理、晶振、濾波等。

OCU3 有高低配兩個版本，但在高低配之下還有劃分。高低配直接的差別是高配支持以太網(wǎng)，低配不支持。其他版本的差異主要是通信基帶支持的頻段不同、以及是否支持 Wi-Fi 和藍牙。

OCU3 小版本較多，外觀上也有如下兩個版本，左邊的一個較為圓潤，右邊一個棱角分明。

TLVHM3IU-E、TLVHM3IU-N?高配

OCU3 高配，支持以太網(wǎng)，不支持 Wi-Fi 和藍牙。使用的主要芯片如下。

• 通信模組：Qualcomm MDM9240，支持的頻段包括 GSM 900/1800 、UMTS B1/B3/B8 、LTE FDD B1/B3/B7/B8/B20/B28A；
• 以太網(wǎng)橋:?東芝?TC9560XBG,采用 ARM Cortex-M3 架構，支持 IEEE 802.1AS 和 IEEE 802.1Qav 等標準;RealTek?RTL9044AB;
• MCU：?英飛凌 Tricore?SAK-TC234LE-32F200F AB,有豐富的接口 1x FlexRay，2x LIN，4x QSPI，6x CAN，包括數(shù)據(jù)速率增強的 CAN FD；

TLVLM3IU-N?低配

OCU3 低配,支持 Wi-Fi ，沒有以太網(wǎng)和藍牙。使用的主要芯片如下。

• 通信模組：Qualcomm MDM9628，支持的頻段包括 GSM 900/1800 、UMTS B1/B3/B8 、LTE FDD B2/B4/B5/B12/B17；
• MCU：?英飛凌 Tricore?SAK-TC234LE-32F200F AB,有豐富的接口 1x FlexRay，2x LIN，4x QSPI，6x CAN，包括數(shù)據(jù)速率增強的 CAN FD；

TLVLM3IU-E?低配

OCU3 低配，不支持以太網(wǎng)、Wi-Fi 及藍牙。使用的主要芯片如下。

• 通信模組：Qualcomm MDM9240，支持的頻段包括 GSM 900/1800 、UMTS B1/B3/B8 、LTE FDD B1/B3/B7/B8/B20/B28A；
• MCU：?英飛凌 Tricore?SAK-TC234LE-32F200F AB,有豐富的接口 1x FlexRay，2x LIN，4x QSPI，6x CAN，包括數(shù)據(jù)速率增強的 CAN FD；

OCU2 - TUVM02IU

FCC ID 為 TUVM02IU-E、TUVM02IU-C 等，未查詢具體的資料。

OCU1-TUVM01IU

TUVM01IU?是第一代 OCU，在越南制造。支持的頻段包括 GSM 1900 PCS UP | LTE 2,1900 PCS UP | LTE 25,1900+ UP | LTE 35,TD PCS Lower DOWN | UMTS CH 2 UP | UMTS CH 25 UP | UMTS CH 35 DOWN 。

OCU 第一代經(jīng)歷過 3 次較大的硬件升級，從TUVM01IU-G 從衍生出了 TUVM01IU-R、TUVP01IU-G、TUVP01IU-R 等。

下圖是 MQB 平臺中使用第一代 OCU 的電路板，部分芯片絲印已無法識別?？勺R別的主要芯片如下。

• MCU:?飛思卡爾?SPC5606BMLL6?32 位 PPC 架構的 MCU，內(nèi)存為 1MB，處理器頻率為 64MHz。通信方式有 6 路 CAN，使用 JTAG 進行調(diào)試。
• SDRAW:?華邦?W94AD6KBHX。

接口測試

手頭正好有一個 OCU3，接上 12V 直流電，使用邏輯分析儀識別出了 CAN 接口。其中一條報文的 ID 為 0x36F，數(shù)據(jù)為 F8 FF FF BF FF FF FF 07。

但在識別串口的時候出現(xiàn)了異常，使用常見的波特率無法解析數(shù)據(jù)。猜測使用了自有協(xié)議通信，無法查看到明文的數(shù)據(jù)。串口的使用需要用到后面講到的開發(fā)工具 ODT。

對其他接口的測試這里暫不展示。

開發(fā)工具 ODT

在第一代 OCU 中，使用 ODT(OCU Development Tool,OCU開發(fā)工具) 調(diào)試、測試、分析 OCU。

ODT 運行在 Window 系統(tǒng)上，通過 USB 轉串口工具與 OCU 相連。 ODT 具有查看信息、設置參數(shù)、觸發(fā)功能等功能。

• 查看信息：在 ODT 可以直觀的查看 GNSS定位信息、網(wǎng)絡狀態(tài)、SIM卡信息、電源狀態(tài)、系統(tǒng)日志、服務日志、調(diào)試日志、配置數(shù)據(jù)等；
• 設置參數(shù)：除了查看功能外，還能設置一些列參數(shù)，如 APN、供電模式等；
• 觸發(fā)功能：此外，還能夠收發(fā)短信、播放音頻、升級系統(tǒng)等。

車聯(lián)網(wǎng)中的 OCU

在車聯(lián)網(wǎng)系統(tǒng)中，OCU 處于核心位置。從下圖中可以看出，OCU 通過 CAN 總線和車載以太網(wǎng)接入網(wǎng)關； J794(車機) 方面，除了通過信息娛樂 CAN 相連以外， J794(車機) 還與 OCU 上的麥克風、揚聲器相連。

在大眾最近的電子架構中，OCU 與車載應用服務器(ICAS1)通過車載以太網(wǎng)和CAN總線相連。OCU 與 娛樂系統(tǒng)（ICAS3）通過 A2B 相連。

OCU 硬件總結

縱觀四代 OCU 的發(fā)展，功能越來越豐富，承載的數(shù)據(jù)量也越來越大。在外觀方面，各代差異較小，外部連接上依舊是少數(shù)的天線接口和主連接器上的排針，但可以看出還是多出了一些接口。芯片方面，仍舊采用通信模組搭配MCU的方案，通信模組負責與外界進行無線通信，MCU 負責與總線通信。伴隨著技術的更替，車載以太網(wǎng)開始在車端廣泛應用，以太網(wǎng)交換芯片的出現(xiàn)是OCU發(fā)展的最大變化，某種意義上也意味著車載網(wǎng)絡的變革。

歷代 OCU 使用的主要芯片變化不大，通信模組采用高通 MDM平臺，供應商為 Sierra Wireless。國內(nèi)其他廠商的 TBOX 常使用移遠通信的通信模組。通信模組使用 eSIM卡；與 MCU 通過 SPI 和 GPIO 相連；與以太網(wǎng)網(wǎng)橋通過 PCIE 相連；與以太網(wǎng)交換芯片通過 RGMI 和 SPI 相連；與音視頻芯片通過 I2S 相連。

MCU 與主控(通信模組) 通過SPI 和 GPIO 相連；下端連接 CAN、按鈕、安全氣囊等。

本文主要講解硬件部分，系統(tǒng)與軟件部分后續(xù)會專題講解。

安全威脅

以滲透測試人員的角度審視 OCU 的安全，并列舉一些常見的風險點。這里以大眾 OCU 為主體，也會談及一些通用 TBOX 的共性問題。

通信

• 無線網(wǎng)絡

  OCU 具備的無線通信方式有蜂窩網(wǎng)絡、GNSS、Wi-Fi，可能還有藍牙。蜂窩網(wǎng)絡存在被降級的風險；定位存在被欺騙的風險，國內(nèi)采用多模，僅 GPS 可被欺騙，威脅系數(shù)較小；Wi-Fi 層面一是配置安全，比較重要的一點是初始密碼的強度，然后是 Wi-Fi 網(wǎng)絡下網(wǎng)絡隔離以及開放服務的安全。藍牙主要是協(xié)議棧的安全。

• 內(nèi)網(wǎng) APN

  通過 OCU APN 接入企業(yè)內(nèi)網(wǎng)，由于內(nèi)網(wǎng)防護較弱，容易被滲透。

• 總線

  通過 OCU 總線攻擊其他 ECU。

OTA

一般狀態(tài)下，智能網(wǎng)聯(lián)汽車中 OTA 請求與固件包的下發(fā)是通過 OCU 與 TSP 來實現(xiàn)的。獲取到系統(tǒng)權限后，既可以通過分析升級程序或者分析通信流量獲取固件包，獲取升級包后，分析升級 包可以發(fā)現(xiàn)其中的脆弱點進行利用；還能分析出其他 ECU 的升級邏輯，利用升級程序缺陷刷入惡意固件繞過安全限制或植入惡意代碼。

以下是一些可能出現(xiàn)問題的點：

1. 云端威脅，OTA 平臺存在漏洞。
2. OTA 固件泄露，泄露的途徑有OTA管理平臺漏洞、測試包泄露、售后泄露、明文傳輸截取、逆向程序獲取下載地址等。
3. 升級程序設計缺陷，如升級包簽名驗簽繞過等。
4. OTA 的可用性，在實施軟件升級時，若不能保證策略的合理性、提示的有效性，將會嚴重影響消費者的生命和財產(chǎn)安全，如某車型在長安街上停車一小時，乘客無法操縱車輛，甚至無法下車，給公共交通安全和用戶生命安全帶來嚴重隱患。

硬件安全

1. 預留未保護的調(diào)試接口，如串口、ADB、USB、JTAG 等。
2. 存儲安全，SOP 封裝 Flash 易被提取。
3. MCU 代碼讀保護未開啟，可提取固件、動態(tài)調(diào)試等。

系統(tǒng)/軟件安全

1. 使用過時的組件，開源組件存在已知漏洞，如 Dnsmasq。
2. 未劃分用戶權限，都以 root 權限運行。
3. 軟件本身存在的漏洞，如命令注入、緩沖區(qū)溢出等。
4. 開放的服務存在缺陷，SSH、Telnet 弱口令，私有服務傳輸敏感信息等。

總結

這篇文章實質(zhì)上是對 TBOX 的一次安全分析。之所以沒有直接講TBOX，是因為直接講太過空洞。于是借助 OCU 將 TBOX 實體化，講一次實際的案例。不同廠家的設計方案雖有不同，但大體還是相似的。遂以小見大，把對 OCU 的安全認知類推到其他 TBOX 上。