車輛系統隔離

為確保車輛系統完整性，Android Automotive 會在以下層級保護傳入的資料：

圖 1. 系統服務架構

• 應用程式：系統會驗證應用程式是否有權與 Car 子系統通訊。
• 明確定義的 API。通用 API 不接受任意資料 Blob (API 必須明確定義)。
• 汽車服務。僅允許透過 OTA (或 USB) 進行更新，並採用全磁碟加密和驗證啟動功能。無法側載。
• 車輛 HAL。驗證是否允許特定訊息。

應用程式和 API

Android Automotive 是建構於 Android 之上，可直接與許多攸關安全性的子系統互動。此外，不同車輛可能會提供不同的介面，並向 Android 公開不同的功能。為確保這些功能安全且順暢，我們將這些功能隔離在抽象層中，與 Android 的其他部分分開。只有明確定義的 API 可與車輛 HAL 通訊，這些 API 會對透過車內網路傳送的訊息進行嚴格格式設定。這可為 Android 開發人員提供可預測的介面，並提供與車輛其他部分的安全互動。

車輛 HAL 訊息會經過兩個層級的篩選：

• 應用程式層級：非系統應用程式可透過具備適當權限的車輛服務存取車輛 HAL。
• 車輛 HAL 層級。可提供額外一層防護，確保傳送至車輛子系統的訊息來自合法來源。也可以用來限制訊息傳送頻率，防止惡意應用程式大量傳送訊息，進而干擾車輛子系統。

車輛 HAL

Vehicle HAL 是與車輛互動的較低層，可透過驅動程式輸入/輸出控制 (ioctl) 呼叫，與車內網路和其他車輛硬體通訊。

車輛 HAL 是 Android Automotive 中唯一連線至 IVI 系統的元件，可透過直接應用程式處理器/微控制器連線，或透過 VMCU 限制。車輛 HAL 的存取權應限制在使用 SELinux 規則和核心介面適當權限的系統應用程式。

SELinux 政策

Android Automotive 會擴充 SELinux，用於篩選驅動程式存取權，包括開啟、關閉、讀取、寫入和 ioctl 呼叫。使用 ioctl 篩選 (以及其他 SELinux 功能) 可限制 Vehicle HAL 允許及接受的 CAN 訊息類型，大幅減少攻擊面。如要進一步瞭解 SELinux，請參閱「Android 中的安全增強式 Linux」。

此外，汽車用途包括應隔離及控管的新類型敏感資料。機密資料有獨立的權限；其他功能 (例如 HVAC 控制和視窗調整) 則應只提供給系統應用程式。汽車專屬 SELinux 政策範例：

<permission-group
 android:name=”android.support.car.permission.CAR_MONITORING />

<permission
 android:name=”android.support.car.permission.CAR_MILEAGE”
 android:protectionLevel=”signature|privileged” />
<permission
 android:name=”android.support.car.permission.CAR_SPEED”
 android:permissionGroup=”android.permission-group.LOCATION”
 android:protectionLevel=”dangerous” />
<permission
 android:name=”android.support.car.permission.CAR_VENDOR_EXTENSION”
 android:permissionGroup=”android.support.car.permission.CAR_INFORMATION”
 android:protectionLevel=”signature|privileged” />

CAR_MONITORING 權限群組是為了汽車相關權限而建立。目前的速度可能屬於私密資訊。因此，CAR_SPEED 權限的防護等級為「危險」。這表示資訊屬於私密和敏感資訊。權限 CAR_VENDOR_EXTENSION 是使用系統或簽章層級權限建立，適用於明確授予此權限的系統應用程式或已簽署的應用程式。

應用程式和活動封鎖功能

為減少駕駛時分心，Android Automotive 提供額外控制項 (許可清單)，確保車輛行駛時無法使用側載應用程式。這些應用程式在車輛停車或停止時仍可運作。

許可清單會指定車輛行駛時可使用的應用程式。只有可信任的系統應用程式可以更新許可清單。雖然更新可透過網路進行，但不應視為可靠的更新。