著名的jeep黑客
汽车黑客事件的历史可以追溯到 2015 年,当时研究人员 chris 和 charlie 能够远程控制 2015 款 zeep 切诺基,并完全控制转向、刹车和信息娱乐中心。他们的研究是三年汽车安全研究的结晶。
他们成功地演示了可以针对许多菲亚特克莱斯勒汽车执行的远程攻击。易受攻击的车辆数量达到数十万辆,这迫使 FCA 召回了140 万辆汽车,并改变了 Sprint 运营商网络。
这种远程攻击可以针对位于美国任何地方的车辆执行,并且不需要攻击者或驾驶员对车辆进行修改或物理交互。由于远程攻击,某些物理系统(例如转向和制动)会受到影响。
在倒车时,他们发现 Harman Kardon 的 Uconnect 8.4AN RA4 作为信息娱乐、Wi-Fi 连接、导航、应用程序和蜂窝通信的唯一来源,它可以与内部 CAN 总线通信,还可以接收指令 OTA。
但是它们之间存在理论上的气隙。当他们最初在车辆上运行Nmap 扫描时,他们发现了一个开放的端口 6667/tcp,该端口打开并运行 irc。事实上,正是 D-Bus 被用于进程间通信。Jeep 不需要任何身份验证。
研究人员使用Dfeet 工具查看服务和Dbus-Python 脚本以获取更多信息。Dbus 服务不是为了与车辆环境外部通信,它纯粹是为了相互通信的目的。
然后通过简单地连接到车辆 WIFI 来完成命令行注入。后来他们通过 sprint 网络完成了同样的操作,只需在他们的 4 行 python 代码中更改 ip 地址。这次他们做了基本的请求,通过网络转储 VIN 号码和 GPS 坐标,以查看有多少车辆易受攻击。他们估计是 40 万,但实际上是 140 万。
气隙实际上有一条SPI线连接OMAP芯片和V850,但实际上它是一个2步过程。
- 命令行注入。
- 重新编程 V850
OMAP 芯片和 V850 芯片未被编程为使用它们之间的 SPI 线,除非您重新编程 V850 的 SPI 解析器以从 SPI 线收集字节,将它们重新打包为 CAN 数据包,并将其注入 CAN 总线。
V850 芯片不需要任何代码验证来重新刷新修改后的二进制文件。您也可以从信息娱乐中心执行此操作。因此,您现在需要的只是要发送的 CAN 数据包。()
如果我们看到 jeep 案例,这是对接口接头的经典利用,并利用了多个潜在的易受攻击的接口。
没有固件验证,在 6667 端口和 OMAP 芯片中都没有适当的输入过滤,气隙也不完美。这可能无法通过简单地使用适当的数据验证来实现。
Skyo-go对奔驰的研究
2019年,来自中国的安全研究团队Skyo-Go,专注于车联网安全。他们构建了一个测试平台,他们的初始攻击向量是用于梅赛德斯奔驰汽车的增强远程移动和紧急服务 (HERMES) 的主机、 OBD-II 端口和硬件。
主机使用不是开源软件的windows CE Automotive 7 。因此,无源代码和调试环境将不会公开。我们都知道 OBD-II 端口需要物理访问,因此将严重性降为低。
由 Harman Kardon 设计的HERMES包含一个 4G 模块,可将汽车连接到互联网。它使用嵌入式 Linux 并处理与每个 ECU 通信的紧急呼叫、远程/本地诊断。它还为主机提供 2.4GHz 和 5GHz 功能。HERMES 的用户手册在网上泄露,并且在一个公开的数据库中,该数据库包含引脚信息。
主机需要连接到TCU才能访问 Internet。
它有三种与 TCU 连接的方式:
- USB 世界标准时间
蓝牙 DUN
无线网络。
系统中的配置文件决定了实际的连接方式。在 HU 和 TCU 之间建立连接之前,它们需要通过 CAN-A 协商协议。建立连接后,它们通过 WCC 协议管理网络。
主机连接到 2 个 CAN 总线:
- CAN-D,这是一种舒适的 CAN 总线。
- CAN-HMI。
梅赛德斯奔驰也有防盗警告系统,但可以通过在 CAN 总线级别阻止一些数据以捕获防盗级别 - 停用消息来绕过它。
进一步反转 CAN 总线数据包,他们发现某些 CAN 总线消息使主机保持运行,并且需要两个不同的心跳消息来绕过 HU 防盗系统并使其在工作台上运行。
固件是攻击任何嵌入式设备的基本要素之一。因此,OpenOCD 与 FT2232 一起使用来转储固件。您必须禁用看门狗时间,因为它可能会在读取固件时重置设备。
使用 4G 模块上的 JTAG 接口,他们触发了允许读/写内存的中断指针。这是一条艰难的道路,因为您必须对内核进行逆向工程并找到 NAND 控制器的寄存器。
他们发现获取固件的另一种方法是打开具有 eMCP NAND 闪存并使用 BGA 工作站提取固件的蜂窝模块。他们还制作了 PCB 适配器/电路,可锻炼所有 48 引脚以支持 8 位和 16 位 NAND 闪存。
在 qualcomm 模块中,分区以特殊的魔术字节开始。还制作了一个可以解析转储的 python 脚本。事实上,倾倒和找出分区是非常深入和重要的工作。
没有安全启动,Skyo-go 团队也能够修改系统服务以打开调试 shell。
隐形无人机攻击特斯拉模型 - S、3、X 和 Y
在 2019 PWN2OWN 中,特斯拉 Model 3是汽车类别的目标,范围内的目标是调制解调器、WIFI/蓝牙、娱乐中心、网关/自动驾驶仪、自动驾驶 DoS 和遥控钥匙。
这引起了安全研究人员 Ralf-Philipp Weinmann 和 Benedikt Schmotzle 的兴趣,他们开始从跳蚤市场购买打捞的零件,重点是攻击 VCSec 和信息娱乐。
他们成功地在特斯拉汽车中使用的开源软件组件 (ConnMan) 中发现了远程零点击安全漏洞,该漏洞使他们能够破坏停放的汽车并通过 Wi-Fi 控制其信息娱乐系统。
他们利用了自动连接到Tesla Service WI-FI 的 Tesla Model 3 的功能。通过融合 ConnMan Deamon 的两个组件中的两个漏洞(Connman 是 GENIVI 推荐的汽车级 Linux 上的默认组件),这允许它们在信息娱乐系统上执行远程代码执行、DNS 转发器中的堆栈溢出和堆栈信息泄漏动态主机配置协议 (DHCP) 组件。
CVE-2021-27765用于控制 ConnMan,这是一个连接管理守护进程,用于管理在 Linux 操作系统中运行的设备内的互联网连接。
这甚至允许他们关闭防火墙、更改路由表和加载/卸载内核模块。
当一辆特斯拉汽车停放时,它通常会扫描 Wi-Fi 网络并尝试连接到使用 WPA2-PSK 的 SSID“特斯拉服务”,但在固件中找到了凭据。
研究人员使用wpad将请求转发到本地 ConnMan DNS 和 DHCP 堆栈信息泄漏,以确定与“libc 基础和堆栈基础”一起运行的软件版本。反向 TCP 连接获取第二阶段的有效负载。他们使用无人机来部署这种攻击,以采取隐蔽的行动方式。
在这种情况下,ConnMan 漏洞存在了将近7 年,构成了完整攻击的基础。在这种情况下,攻击者/对手可以利用现有漏洞入侵汽车/车辆。
可以加入简单的错误或安全漏洞来访问/攻击整个舰队。在这些情况下,损害 这种情况下的损害将是灾难性的。
以下是车辆生态系统中发生的其他一些攻击,这些攻击传播得更广泛。
结论:
有许多与车辆及其后端相关的不同攻击。在这篇博客中,我们挑选了其中的一些来展示汽车生态系统中的各种攻击可能性,包括硬件、固件、无线电等。我们希望您了解汽车生态系统面临的威胁及其原因对提高其安全性至关重要。
参考文献:
若有收获,就点个赞吧
0 人点赞
