Jeep如何被黑客攻擊的 破解報(bào)告獨(dú)家揭秘
2015年8月全球最大的黑客大會(huì)DEFCON掀起了汽車(chē)攻擊的一次高潮,兩萬(wàn)多名黑客和安全從事人員在美國(guó)拉斯維加斯目睹了一次又一次的汽車(chē)破解演示。正是像他們這樣的攻擊者過(guò)去2年內(nèi)在汽車(chē)安全領(lǐng)域的專(zhuān)注和貢獻(xiàn),讓保守的美國(guó)車(chē)廠將之前只有內(nèi)部知道的汽車(chē)安全隱患不得不逐漸讓公眾了解,直到今年7月克萊斯勒公司在美國(guó)大規(guī)模召回140萬(wàn)輛Jeep。
本文引用地址:http://m.butianyuan.cn/article/201610/309683.htm作為國(guó)內(nèi)最早一批投身車(chē)聯(lián)網(wǎng)安全的研究人員,我欣慰地看到了汽車(chē)安全是如何從一個(gè)偏門(mén)的研究領(lǐng)域到現(xiàn)在被人們重視,而且這群“人們”里面包括了車(chē)廠和相關(guān)的車(chē)聯(lián)網(wǎng)廠商。所以,我大膽且堅(jiān)定地認(rèn)為,2015年是汽車(chē)安全的元年。
黑客雙雄:Charlie Miller和Chris Valasek
Jeep破解事件的黑客是來(lái)自美國(guó)的Charlie Miller和Chris Valasek,他們分別在IOActive 和Twitter就職。但是,黑客工作只是他們自己的興趣愛(ài)好,與其所在公司沒(méi)有太多關(guān)系。他們倆目前在汽車(chē)黑客界應(yīng)該是最火的,這就難怪由他們?cè)诘暮诳痛髸?huì)會(huì)場(chǎng)水泄不通、甚至連站的地方都沒(méi)有了。
我與Charlie Miller和Chris Valasek會(huì)過(guò)兩次面,并與他們就汽車(chē)防護(hù)工作進(jìn)行過(guò)討論:2013年DEFCON會(huì)議上他們關(guān)于汽車(chē)攻擊的演示很大程度上掀起了車(chē)聯(lián)網(wǎng)安全的研究熱情;2015年4月舉行的Automobile Cyber Security Summit底特律汽車(chē)安全高峰會(huì)議他們倒沒(méi)有什么新的東西(現(xiàn)在想來(lái),估計(jì)是在為8月的JEEP漏洞發(fā)布蓄勢(shì))。
我寫(xiě)這篇文章前讀過(guò)了Charlie 和Chris關(guān)于Jeep的91頁(yè)英文破解報(bào)告——Remote Exploitation of an Unaltered Passenger Vehicle。
8月10日,我就在等這篇報(bào)告出爐,但是等到半夜沒(méi)見(jiàn)作者如期放出來(lái)。好在第二天上午首先在illmatics.com網(wǎng)上看到了PDF版本,91頁(yè)足夠多了。
我不可能把報(bào)告的細(xì)節(jié)一一描述,只根據(jù)我了解的背景知識(shí)和兩位黑客之前做的一些工作,來(lái)向大家介紹他們最近的研究工作和之前有什么不同、實(shí)現(xiàn)思路和用什么方式來(lái)進(jìn)行防護(hù)類(lèi)似黑客的攻擊。我會(huì)根據(jù)自己的理解寫(xiě)我的感受,不一定按照?qǐng)?bào)告里的內(nèi)容翻譯。
“unaltered”這個(gè)詞,意思是不加改變的,不包括插上OBD盒子、對(duì)汽車(chē)內(nèi)部做手腳、接入WIFI熱點(diǎn)等等。這個(gè)詞背后的意思就是叫板,我不做手腳照樣搞掂你。
報(bào)告的前幾頁(yè)介紹了他們的汽車(chē)安全研究工作,以及破解Jeep的初心:09年以來(lái)汽車(chē)攻擊大多是以物理接觸攻擊為主,這次他們想從遠(yuǎn)程攻擊入手,實(shí)現(xiàn)大規(guī)??蓮?fù)制性的汽車(chē)攻 擊,這恰恰是病毒攻擊的特點(diǎn),也是車(chē)廠最擔(dān)心的;另外一個(gè)原因,物理攻擊的局限性是車(chē)廠反饋的集中點(diǎn)。OBD入口攻擊、車(chē)?yán)锓湃朐O(shè)備(例如攻擊 OnStar的Ownstar設(shè)備)都是因?yàn)檫@個(gè)理由而遭車(chē)廠選擇性忽視。所以,這次遠(yuǎn)程攻擊是研究者的一次亮劍,看看車(chē)廠到底還有什么 理由來(lái)回避。
選Jeep不是偶然
我從FCA汽車(chē)相關(guān)人員處了解,他們不是沒(méi)有自己的cybersecurity安全團(tuán)隊(duì),只是目前規(guī)模比較小。但Jeep還是躺著中槍了兩次!去年世界黑客大會(huì)上,Charlie 和Chris發(fā)表了對(duì)不同汽車(chē)的一項(xiàng)調(diào)研成果:在眾多的汽車(chē)中,Jeep由于潛在的風(fēng)險(xiǎn)被認(rèn)為是容易受攻擊的一種車(chē)輛。而今年,Jeep就真的不幸成為候選車(chē)輛。所以如果你也了解這 段歷史,當(dāng)你第一次知道Jeep曝出漏洞的時(shí)候,你會(huì)和我一樣有這樣的念頭,“怎么又是Jeep?!”
破解思路:為什么選擇從娛樂(lè)系統(tǒng)入手?
誰(shuí)讓你把娛樂(lè)系統(tǒng)直接連到CAN總線上?攻破了娛樂(lè)系統(tǒng)就可以把CAN指令寫(xiě)入到CAN總線里,之前兩位黑客積累的私有協(xié)議CAN指令就有用武之地了,嘿嘿。
報(bào)告的第9-19頁(yè)介紹了2014款Jeep的一些輔助功能和對(duì)應(yīng)的潛在攻擊點(diǎn),不是特別重要。值得一提的是Wifi熱點(diǎn),作者就是通過(guò)這個(gè)攻入了汽車(chē)。
之后的幾頁(yè)介紹了Jeep的Uconnect、操作系統(tǒng)、文件系統(tǒng)等等,其中的IFS越獄會(huì)在報(bào)告稍后部分介紹。
第25頁(yè)是很重要的,因?yàn)檫@次破解工作的出發(fā)點(diǎn):Jeep的WPA2密碼設(shè)置很弱:按照固定的時(shí)間加上車(chē)機(jī)啟動(dòng)的秒數(shù),生成一個(gè)密碼。這樣,只需要試不超過(guò)幾十次,密碼就可以攻破了!原本想按照車(chē)機(jī)開(kāi)啟時(shí)間加上車(chē)機(jī)啟動(dòng)時(shí)間,但是車(chē)機(jī)無(wú)法知道何時(shí)啟動(dòng)的,所以在函數(shù)start()就硬編碼了一個(gè)固定的時(shí)間:2013年1月1日零時(shí), oops!
然后,在28頁(yè)擴(kuò)大戰(zhàn)果,通過(guò)端口掃描發(fā)現(xiàn)了一系列開(kāi)放的端口,包括6667 D-Bus,一種IPC、RPC的進(jìn)程通信機(jī)制。由于D-BUS允許匿名登入,兩位破解者做了一系列的嘗試(P29)。
最后,通過(guò)對(duì)D-BUS服務(wù)的分析,發(fā)現(xiàn)有幾種可直接進(jìn)行操作,比如調(diào)節(jié)車(chē)機(jī)音量大小和獲取PPS數(shù)據(jù)(P31頁(yè))。
又一個(gè)發(fā)現(xiàn):移動(dòng)供應(yīng)商內(nèi)部網(wǎng)絡(luò)
由于Uconnect可以連接到移動(dòng)運(yùn)營(yíng)商Sprint,后者提供telematics服務(wù),使用高通3G基帶芯片。雖然車(chē)機(jī)里面的TI OMAP系統(tǒng)不能直接連接CAN總線,但是兩位破解者發(fā)現(xiàn)了另一個(gè)絕對(duì)需要保護(hù)的地方,就是我們俗稱(chēng)的CAN控制器。這里的控制器是Renesas(有人習(xí)慣稱(chēng)為NEC)V850 MCU,這是一個(gè)比較常用的處理器,連反調(diào)試神奇IDA Pro都有相應(yīng)調(diào)試模塊(P33)。 接下來(lái)就是如何越獄Uconnect,但他們指出這不是必要的,純碎是興趣所在,所以眾位看官可以跳過(guò)這一部分,如果你不是一個(gè)Geek。
第40頁(yè)開(kāi)始再次回到攻擊的正路上:利用Uconnect發(fā)出控制娛樂(lè)系統(tǒng)音量、空調(diào)風(fēng)扇、收音機(jī),甚至關(guān)閉屏幕、更改開(kāi)機(jī)圖片等指令。
前面提到的D-Bus再次給攻擊者提供了新的攻擊點(diǎn)GPS,通過(guò)端口6667可以跟蹤任何一輛運(yùn)行Uconnect的汽車(chē),這為進(jìn)行大規(guī)模、任意性攻擊提供了必要條件。
評(píng)論