编者注:作者@fenggou,乌云漏洞平台联合创始人。
还记得前几天媒体铺天盖地宣传的黑客攻陷克莱斯勒汽车的案例么?具体新闻:两名黑客的入侵演示 致使克莱斯勒召回140万辆汽车。
其中黑客在远程控制了记者驾驶汽车的雨刷、音响、中控大屏、刹车甚至是低速情况下的远程驾驶权限,给车开到沟里去鸟……随着BlackHat大会的首日召开,这次汽车攻击细节也公布于众,其中有令人眼前一亮的漏洞与分析,我们一起来看。
这个议题名为”REMOTE EXPLOITATION OF AN UNALTERED PASSENGER VEHICLE“。其中,Charlie Miller是twitter的安全研究员(就是上图比较清凉的这位GG),是工业安全界非常有名的人物。
汽车经络图,这个汽车大保健呢,应该按这里,这里,还有这里。哦对,这个部位的激烈震动有益汽车的身心健康。
回到正题,这次议题中讲了两种可以远程攻击到汽车的方法:
1、首先是通过Wi-Fi入侵车载系统Uconnect。
Charlie Miller先逆向了汽车Uconnect系统WPA2密码的生成方式,发现WPA2的密码是根据设定密码的时间作为种子生成的随机密码,并且首次生成以后并不会改变。所以说当知道了生成密码的时间,就可以暴力破解出密码。
简单来说就是知道你是哪一天设置的密码,那黑客就可以在1小时内暴力猜出你的Wi-Fi密码。
进入汽车Uconnect系统的Wi-Fi内网后,Charlie发现汽车打开了6667端口运行D-BUS服务。D-BUS是以root模式运行,其中有一个服务(NavTrailService)存在任意命令注入漏洞,然后就这样获取到了Uconnect系统的root控制权(就是这套系统最高控制权,相当于你媳妇在家里的地位)。
编者注:Uconnect系统是克莱斯勒旗下的车载娱乐信息系统,支持播放音乐、导航、手机app遥控等。默认情况下,它可以读取汽车控制系统的状态,但不能控制。 详细可参考官方说明:Services and Apps from Uconnect)
2、另一种方式是通过蜂窝网络入侵汽车。
这种方式更酷一些。首先采用 femto-cell 的方法让Uconnect接入伪基站,然后对区域内的 IP 进行扫描寻找打开了6667端口的设备,也就是打开D-BUS服务端口的汽车。随后采用和Wi-Fi攻击手段一样的命令注入方法获取到root权限(相当于你跟媳妇有了孩子后,这小兔崽子在你家中的地位)。
编者注:femto-cell,伪造蜂窝基站。可被用作伪基站群发垃圾短信等非法用途。具体案例可参考乌云的分析案例。
你以为这就黑掉汽车了?非也,毕竟这对好基友(黑客)研究了一年的漏洞,可不会就这么简单轻松。因为Charlie有讲到,即使得到了Uconnect车载系统的root权限也只能进行一些媒体控制,放个音乐,放个小电影。想要控制汽车的底层功能,还需要对Uconnect这套车载系统的固件进行修改。
除此之外,Charlie 他们还发现目标汽车有个严重的安全漏洞。那就是汽车的系统不会验证固件的签名,因此通过修改固件系统并加入后门功能变为了可能。
就这么理解吧,你手里的iPhone手机现在可以刷自带1024客户端的iOS10系统啦。
至于这自制固件做了啥,乌云君之前的猜测是黑客利用了OBD的私有协议进行攻击,但目前看来,Uconnect可能是直接与自己的汽车总线控制系统或者是汽车ecu(汽车真正的电子大脑,可以控制一切)进行的交互,所以可以控制刹车等底层功能。但正常固件功能无法随便的控制,所以自制固件所做的应该就是打通了黑客直接接触到目标汽车底层系统的会话通道。
最后,放上几张Charlie Miller演示的各种控制汽车的视频截图福利:
看得热血沸腾了吧?也想研究汽车安全成为汽车黑客?这个简单!首先你得有辆车......
更多关于漏洞信息,可移步乌云知乎专栏。