最新黑客大會JEEP汽車91頁破解報告(摘要版)
前言
我想再次重復2個月之前提出的一個觀點:2015年是汽車安全的元年!
這屆的黑客大會掀起了汽車攻擊的一次高潮,文章開始部分我想感謝Chirs等安全人士在汽車安全領域的專注和貢獻,是他們用自己的努力一步一步地讓保守的美國車廠將之前只有內部知道的汽車安全隱患不得不慢慢讓公眾了解,直到宣布召回140萬輛車。此外,還有早在2010年發表汽車安全問題論文的美國研究人員,使他們掀開了汽車安全隱患的神秘面紗;還有那些致力于義務推動汽車安全標準的草根機構,他們不惜辭職,減少自己收入,用更多的時間投入到汽車安全標準推廣活動中去。
同時作為較早的一批投身于車聯網安全的一員,我也欣慰地看到過去兩年中,汽車安全如何從一個偏門的研究領域到現在被人們重視,而且這群“人們”里面包括了車廠和相關的車聯網廠商。
1. 克萊斯勒JEEP的91頁破解報告“Remote Exploitation of an Unaltered Passenger Vehicle”
其實昨天8月10號的時候,我就在等這篇報告出爐,但是等到半夜沒見作者如期放出來。好在第二天上午首先在illmatics.com網上看到了PDF版本,91頁足夠多了。http://illmatics.com/Remote%20Car%20Hacking.pdf我不可能把里面的細節一一描述,就根據我了解的背景知識和之前作者做的一些工作,來向讀者介紹他們最近研究工作和之前有什么不同,實現思路和用什么方式來進行防護類似黑客的攻擊。我會根據自己的理解寫我的感受,不一定非要按照報告里的內容翻譯。
注意報告里的“unaltered”這個詞,意思是不加改變的,不包括插上OBD盒子,對汽車內部做手腳,接入WIFI熱點等等。這個詞背后的意思就是叫板,我不做手腳照樣搞掂你!
報告前面幾頁介紹了汽車安全研究工作,09年以來的工作大多是以物理接觸攻擊為主,這次他們的工作想從遠程攻擊入手,實現大規模可復制性的汽車攻擊,這恰恰是病毒攻擊的特點也是車廠最擔心的。另一個原因是:物理攻擊的局限性也是車廠反饋的集中點。OBD入口攻擊,車里放入一個設備(例如這次黑客大會攻擊ONSTAR的OWNSTAR設備)都是通過這個理由而遭到車廠有選擇性的忽視的。所以,這次的遠程攻擊是研究者的一次亮劍,看看到底車廠還有什么理由來回避。
為什么選JEEP不是偶然的
JEEP躺著中槍了兩次!去年黑客大會上,作者發表了對不同汽車的一項調研成果,在眾多的汽車中,JEEP由于潛在的風險很多被認為是容易受攻擊的一種車輛。所以JEEP才被榮幸的成為候選車輛。所以如果你也了解這段歷史,當你第一眼看到JEEP爆出漏洞的時候,你會和我一樣有這樣的念頭“怎么又是JEEP?!”
另外一個插曲,作者的研究經費是由DARPA提供的,這是一個研究性質的項目,而不是由作者所在公司提供的。我猜想應該是作者利用工作之外的時間做的,所以報告里沒有過多現在公司的信息。所以說,作者還是非常professional的,這一點希望大家能學習一下!
2. 破解思路:為什么選擇從娛樂系統入手?
誰讓你把娛樂系統直接連到CAN總線上?攻破了娛樂系統就可以把CAN指令寫入到CAN總線里,之前作者積累的私有協議CAN指令就有用武之地了。
第9-19頁介紹了2014款JEEP的一些輔助功能和對應的潛在攻擊點,不是特別重要。值得一提的WIFI熱點,作者就是通過這個攻入了汽車。之后的幾頁介紹了JEEP的Uconnect,操作系統,文件系統等等。其中的IFS越獄會在報告稍后部分介紹。第25頁是很重要的,因為這次破解工作的出發點:JEEP的WPA2密碼設置很弱:按照固定的時間加上車機啟動的秒數,生成一個密碼。這樣,只需要試試不超過幾十次,密碼就可以攻破了!原本想按照車機開啟時間加上車機啟動時間,但是車機無法知道何時啟動的,所以在函數start()就硬編碼了一個固定的時間:2013年1月1號零時,oops!
然后,在28頁擴大戰果,通過端口掃描發現了一系列開放的端口,包括6667D-Bus,一種IPC,RPC的進程通信的機制。由于D-BUS允許匿名登入,作者做了一系列的嘗試(P29)。最后,通過對D-BUS服務的分析,發現有幾種直接進行操作,比如調節車機音量大小和獲取PPS數據(P31頁)。
3.又一個發現:移動供應商內部網絡
由于Uconnect可以連接到移動運營商Sprint,后者提供telematics服務,使用的高通3G基帶芯片。雖然車機里面的TIOMAP系統不能直接連接CAN總線,但是作者發現了另一個絕對需要保護的地方,就是我們俗稱的CAN控制器。這里的控制器是Renesas(有人習慣稱為NEC)V850 MCU,這是一個比較常用的處理器,連反調試神奇IDA Pro都有相應調試模塊(P33)。下面就是如何越獄Uconnect,作者指出這不是必要的,純碎是興趣所在,所以眾位看官可以跳過這一部分如果你不是一個GEEK。
第40頁開始再次回到攻擊的正路上:利用Uconnect發出控制娛樂系統音量,空調風扇,收音機甚至關閉頻幕,更改開機圖片換上你的大頭照等指令。前面提到的D-Bus再次給攻擊者提供了新的攻擊GPS,通過端口6667可以跟蹤任何一輛運行Uconnect的汽車,這對進行大規模,任意性攻擊提供了必要條件。
到此為止,報告我講解了一半了。但是一個非常大的挑戰是:還不能完全滿足遠程攻擊和不進行修改(unaltered)汽車的目的。
1.很多車主不購買WIFI熱點服務,所以這些車輛你無法攻擊到
2.WIFI信號還是近場攻擊。所以,下面我要介紹如果利用Sprint運營商的內網進行遠程攻擊。
移動運營商的內網 P43-48
作者發現了2個A類IP地址段是用來分配給汽車的,汽車每次啟動的時候都會自動分配一個IP地址。又是D-BUS被用來和運營商網絡進行通信。作者在EBAY上買了叫Sprint Airave的設備并利用了這個設備公開的一個漏洞通過TELNET進入!這就意味著我們在一輛車上嘗試成功的攻擊手段可以通過運營商網絡傳播到所有的Uconnect車輛上!這里面有一個Sprint通信的特點,可以允許不同的設備(包括汽車)通過通信塔可以自由通信,這就是攻擊傳播通道。(漏洞爆出后,Sprint迅速修改了這個機制)P46,如果利用通信網絡掃描所有的車輛并且定位。掃描結果發現不僅僅是JEEP車型其他一系列車型都是受害者。作者估計了一下,大概有29-47萬輛車收到波及,結果車廠召回了140萬!
下一個倒霉蛋-V850
V850本來沒有往CAN總線寫指令的功能,但我們可以通過改寫V850固件插入惡意代碼進行控制汽車CAN總線。這是通過OMAP芯片做到的。P48-68是刷寫固件的具體方法。在利用SPI機制刷寫時,作者發現V850固件更新沒有采用簽名機制保護固件更新。P70頁描述了如何通過V850發出CAN指令的。P71頁對發現的漏洞進行了總結。后面介紹的是如果通過汽車診斷工具逆向CAN協議。P86頁向車廠通知和車廠反應的進度表里包括了很多有些意思的信息。我的理解,這還是算反應比較迅速的,即便這樣前后有10月的時間。車廠不是沒有做什么工作來彌補安全上的缺失。實際上,目前美國車廠都成立的安全小組負責車聯網安全問題,只是他們的行動慢了。同時這張表格還解釋通了我之前對美國車聯網安全進展的幾個疑問。當然,這和這篇文章無關,我就不多說了。
最后,是感謝列表和參考文獻,全文結束!
4. 如何進行防范?
對于防守而言,萬變不離其宗。你研究不同汽車攻擊的案例和方法,就會發現在幾個關鍵點和響應機制布局,就能否防范絕大多數的汽車攻擊。實際上,車廠本來應該有很好的時間窗口避免這種尷尬的曝光式的漏洞發布,但是他們錯過了。另一方面,目前汽車攻擊還是停留在通過點滲透到云端,再進行其他車輛攻擊,防御還是相對可控的。以后隨著V2X的普及,那將是災難性的。
這里做一個小廣告:8月底我會做一個汽車安全普及的微課堂,對汽車安全,業界看法,攻擊方式,防御體系做一個概括性的介紹。歡迎大家報名參加!具體信息屆時發布。
5. 結束語
再次向那些(大部分是美國的)汽車安全研究人員致敬。他們在研究的過程中少了些商業動機,多了些白帽子的敬業精神。無欲則剛,這樣才能在2年左右時間推動了業界對汽車安全的重視。我希望更多的傳統安全人士投身到汽車安全研究中去。隨著2017年國內智能車的推出,汽車安全解決方案是一個無法繞過的議題。
