Jeep如何被黑客攻擊的 破解報告獨(dú)家揭秘

2015年8月全球最大的黑客大會DEFCON掀起了汽車攻擊的一次高潮,兩萬多名黑客和安全從事人員在美國拉斯維加斯目睹了一次又一次的汽車破解演示。正是像他們這樣的攻擊者過去2年內(nèi)在汽車安全領(lǐng)域的專注和貢獻(xiàn)，讓保守的美國車廠將之前只有內(nèi)部知道的汽車安全隱患不得不逐漸讓公眾了解，直到今年7月克萊斯勒公司在美國大規(guī)模召回140萬輛Jeep。

作為國內(nèi)最早一批投身車聯(lián)網(wǎng)安全的研究人員，我欣慰地看到了汽車安全是如何從一個偏門的研究領(lǐng)域到現(xiàn)在被人們重視，而且這群“人們”里面包括了車廠和相關(guān)的車聯(lián)網(wǎng)廠商。所以，我大膽且堅定地認(rèn)為，2015年是汽車安全的元年。

黑客雙雄：Charlie Miller和Chris Valasek

Jeep破解事件的黑客是來自美國的Charlie Miller和Chris Valasek，他們分別在IOActive 和Twitter就職。但是，黑客工作只是他們自己的興趣愛好，與其所在公司沒有太多關(guān)系。他們倆目前在汽車黑客界應(yīng)該是最火的，這就難怪由他們在的黑客大會會場水泄不通、甚至連站的地方都沒有了。

我與Charlie Miller和Chris Valasek會過兩次面，并與他們就汽車防護(hù)工作進(jìn)行過討論：2013年DEFCON會議上他們關(guān)于汽車攻擊的演示很大程度上掀起了車聯(lián)網(wǎng)安全的研究熱情;2015年4月舉行的Automobile Cyber Security Summit底特律汽車安全高峰會議他們倒沒有什么新的東西(現(xiàn)在想來，估計是在為8月的JEEP漏洞發(fā)布蓄勢)。

Jeep破解報告

我寫這篇文章前讀過了Charlie 和Chris關(guān)于Jeep的91頁英文破解報告——Remote Exploitation of an Unaltered Passenger Vehicle。

8月10日，我就在等這篇報告出爐，但是等到半夜沒見作者如期放出來。好在第二天上午首先在illmatics.com網(wǎng)上看到了PDF版本，91頁足夠多了。

我不可能把報告的細(xì)節(jié)一一描述，只根據(jù)我了解的背景知識和兩位黑客之前做的一些工作，來向大家介紹他們最近的研究工作和之前有什么不同、實現(xiàn)思路和用什么方式來進(jìn)行防護(hù)類似黑客的攻擊。我會根據(jù)自己的理解寫我的感受，不一定按照報告里的內(nèi)容翻譯。

“unaltered”這個詞，意思是不加改變的，不包括插上OBD盒子、對汽車內(nèi)部做手腳、接入WIFI熱點(diǎn)等等。這個詞背后的意思就是叫板，我不做手腳照樣搞掂你。

報告的前幾頁介紹了他們的汽車安全研究工作，以及破解Jeep的初心：09年以來汽車攻擊大多是以物理接觸攻擊為主，這次他們想從遠(yuǎn)程攻擊入手，實現(xiàn)大規(guī)?？蓮?fù)制性的汽車攻 擊，這恰恰是病毒攻擊的特點(diǎn)，也是車廠最擔(dān)心的;另外一個原因，物理攻擊的局限性是車廠反饋的集中點(diǎn)。OBD入口攻擊、車?yán)锓湃朐O(shè)備(例如攻擊 OnStar的Ownstar設(shè)備)都是因為這個理由而遭車廠選擇性忽視。所以，這次遠(yuǎn)程攻擊是研究者的一次亮劍，看看車廠到底還有什么 理由來回避。

選Jeep不是偶然

我從FCA汽車相關(guān)人員處了解，他們不是沒有自己的cybersecurity安全團(tuán)隊，只是目前規(guī)模比較小。但Jeep還是躺著中槍了兩次!去年世界黑客大會上，Charlie 和Chris發(fā)表了對不同汽車的一項調(diào)研成果：在眾多的汽車中，Jeep由于潛在的風(fēng)險被認(rèn)為是容易受攻擊的一種車輛。而今年，Jeep就真的不幸成為候選車輛。所以如果你也了解這 段歷史，當(dāng)你第一次知道Jeep曝出漏洞的時候，你會和我一樣有這樣的念頭，“怎么又是Jeep?!”

破解思路：為什么選擇從娛樂系統(tǒng)入手?

誰讓你把娛樂系統(tǒng)直接連到CAN總線上?攻破了娛樂系統(tǒng)就可以把CAN指令寫入到CAN總線里，之前兩位黑客積累的私有協(xié)議CAN指令就有用武之地了，嘿嘿。

報告的第9-19頁介紹了2014款Jeep的一些輔助功能和對應(yīng)的潛在攻擊點(diǎn)，不是特別重要。值得一提的是Wifi熱點(diǎn)，作者就是通過這個攻入了汽車。

之后的幾頁介紹了Jeep的Uconnect、操作系統(tǒng)、文件系統(tǒng)等等，其中的IFS越獄會在報告稍后部分介紹。

第25頁是很重要的，因為這次破解工作的出發(fā)點(diǎn)：Jeep的WPA2密碼設(shè)置很弱：按照固定的時間加上車機(jī)啟動的秒數(shù)，生成一個密碼。這樣，只需要試不超過幾十次，密碼就可以攻破了!原本想按照車機(jī)開啟時間加上車機(jī)啟動時間，但是車機(jī)無法知道何時啟動的，所以在函數(shù)start()就硬編碼了一個固定的時間：2013年1月1日零時， oops!

然后，在28頁擴(kuò)大戰(zhàn)果，通過端口掃描發(fā)現(xiàn)了一系列開放的端口，包括6667 D-Bus，一種IPC、RPC的進(jìn)程通信機(jī)制。由于D-BUS允許匿名登入，兩位破解者做了一系列的嘗試(P29)。

最后，通過對D-BUS服務(wù)的分析，發(fā)現(xiàn)有幾種可直接進(jìn)行操作，比如調(diào)節(jié)車機(jī)音量大小和獲取PPS數(shù)據(jù)(P31頁)。

又一個發(fā)現(xiàn)：移動供應(yīng)商內(nèi)部網(wǎng)絡(luò)

由于Uconnect可以連接到移動運(yùn)營商Sprint，后者提供telematics服務(wù)，使用高通3G基帶芯片。雖然車機(jī)里面的TI OMAP系統(tǒng)不能直接連接CAN總線，但是兩位破解者發(fā)現(xiàn)了另一個絕對需要保護(hù)的地方，就是我們俗稱的CAN控制器。這里的控制器是Renesas(有人習(xí)慣稱為NEC)V850 MCU，這是一個比較常用的處理器，連反調(diào)試神奇IDA Pro都有相應(yīng)調(diào)試模塊(P33)。 接下來就是如何越獄Uconnect，但他們指出這不是必要的，純碎是興趣所在，所以眾位看官可以跳過這一部分，如果你不是一個Geek。

第40頁開始再次回到攻擊的正路上：利用Uconnect發(fā)出控制娛樂系統(tǒng)音量、空調(diào)風(fēng)扇、收音機(jī)，甚至關(guān)閉屏幕、更改開機(jī)圖片等指令。

前面提到的D-Bus再次給攻擊者提供了新的攻擊點(diǎn)GPS，通過端口6667可以跟蹤任何一輛運(yùn)行Uconnect的汽車，這為進(jìn)行大規(guī)模、任意性攻擊提供了必要條件。[!--empirenews.page--]

到此為止，報告我講解了一半了，但是一個非常大的挑戰(zhàn)是：還不能完全滿足遠(yuǎn)程攻擊和不進(jìn)行修改(unaltered)汽車的目的。第一，很多車主不購買 wifi熱點(diǎn)服務(wù)，所以這些車輛無法攻擊到 ，Wifi信號還是近場攻擊。所以，下面我要介紹如何利用Sprint運(yùn)營商的內(nèi)網(wǎng)進(jìn)行遠(yuǎn)程攻擊。

P43-4 8，作者發(fā)現(xiàn)了2個A類IP地址段是用來分配給汽車的，汽車每次啟動的時候都會自動分配一個IP地址。又是D-BUS被用來和運(yùn)營商網(wǎng)絡(luò)進(jìn)行通信。作者在 Ebay上買了叫Sprint Airave的設(shè)備，并利用了這個設(shè)備公開的一個漏洞，通過TELNET進(jìn)入!這就意味著我們在一輛車上嘗試成功的攻擊手段可以通過運(yùn)營商網(wǎng)絡(luò)傳播到所有的Uconnect車輛上!這里面有一個Sprint通信的特點(diǎn)，可以允許不同的設(shè)備(包括汽車)通過通信塔自由通信，這就是攻擊的傳播通道。(漏洞爆出后，Sprint迅速修改了這個機(jī)制。)

P46，如何利用通信網(wǎng)絡(luò)掃描所有車輛并且定位。掃描結(jié)果發(fā)現(xiàn)不僅僅是Jeep車型，其他一系列車型都是受害者。兩位黑客估計了一下，大概有29-47萬輛車被波及。實際結(jié)果是，車廠召回了140萬!

下一個倒霉蛋-V850

V850本來沒有向CAN總線寫指令的功能，但我們可以通過改寫V850固件、插入惡意代碼進(jìn)行控制汽車CAN總線。這是通過OMAP芯片做到的。 P48-68是刷寫固件的具體方法。在利用SPI機(jī)制刷寫時，兩位黑客發(fā)現(xiàn)V850固件更新沒有采用簽名機(jī)制保護(hù)固件更新。

P70頁描述了如何通過V850發(fā)出CAN指令。P71頁對發(fā)現(xiàn)的漏洞進(jìn)行了總結(jié)。后面介紹的是如何通過汽車診斷工具逆向CAN協(xié)議。

P86頁，向車廠通知和車廠反應(yīng)的進(jìn)度表，包含了很多有意思的信息。

如何進(jìn)行防范?

今年的DEFCON黑客大會將汽車攻擊帶入了高潮，車廠和相關(guān)供應(yīng)商不得不思考汽車安全的問題。但是汽車安全目前在中美兩地基本是空白。Chris他們?nèi)ツ曜隽艘粋€基于OBD接口的CAN流量異常檢測硬件設(shè)備，我和他在拉斯維加斯交流的時候，他也承認(rèn)不能進(jìn)行實時防護(hù)，只能做線下異常檢測，而且異常檢測的缺點(diǎn)是誤報率較高。

傳統(tǒng)汽車行業(yè)缺少安全方面的人才儲備，而互聯(lián)網(wǎng)公司和傳統(tǒng)安全公司對汽車又不是很熟悉，而且傳統(tǒng)安全防護(hù)解決方案不能輕易地移植到車內(nèi)，這給了專門從事安全防護(hù)的公司很大的發(fā)展空間和機(jī)遇。一些很大規(guī)模的公司(甚至國外政府部門和飛機(jī)制造廠商)找到我們詢問汽車安全解決方案就證明了這點(diǎn)。很多做傳統(tǒng)安全的公司其實自己都不怎么理解汽車，更不用提汽車安全了。

由于缺少規(guī)范的安全監(jiān)管標(biāo)準(zhǔn)和流程，許多廠商不能對其硬件或者應(yīng)用軟件執(zhí)行必要的安全性測試，結(jié)果就會導(dǎo)致汽車的遠(yuǎn)程攻擊成為普遍現(xiàn)象。我希望更多的傳統(tǒng)安全人士投身到汽車安全研究中，隨著智能車的發(fā)展和應(yīng)用，汽車安全注定是一個無法繞過的議題。