Jeep如何被黑客攻擊的 破解報告獨家揭秘

2015年8月全球最大的黑客大會(huì )DEFCON掀起了汽車(chē)攻擊的一次高潮,兩萬(wàn)多名黑客和安全從事人員在美國拉斯維加斯目睹了一次又一次的汽車(chē)破解演示。正是像他們這樣的攻擊者過(guò)去2年內在汽車(chē)安全領(lǐng)域的專(zhuān)注和貢獻，讓保守的美國車(chē)廠(chǎng)將之前只有內部知道的汽車(chē)安全隱患不得不逐漸讓公眾了解，直到今年7月克萊斯勒公司在美國大規模召回140萬(wàn)輛Jeep。

作為國內最早一批投身車(chē)聯(lián)網(wǎng)安全的研究人員，我欣慰地看到了汽車(chē)安全是如何從一個(gè)偏門(mén)的研究領(lǐng)域到現在被人們重視，而且這群“人們”里面包括了車(chē)廠(chǎng)和相關(guān)的車(chē)聯(lián)網(wǎng)廠(chǎng)商。所以，我大膽且堅定地認為，2015年是汽車(chē)安全的元年。

黑客雙雄：Charlie Miller和Chris Valasek

Jeep破解事件的黑客是來(lái)自美國的Charlie Miller和Chris Valasek，他們分別在IOActive 和Twitter就職。但是，黑客工作只是他們自己的興趣愛(ài)好，與其所在公司沒(méi)有太多關(guān)系。他們倆目前在汽車(chē)黑客界應該是最火的，這就難怪由他們在的黑客大會(huì )會(huì )場(chǎng)水泄不通、甚至連站的地方都沒(méi)有了。

我與Charlie Miller和Chris Valasek會(huì )過(guò)兩次面，并與他們就汽車(chē)防護工作進(jìn)行過(guò)討論：2013年DEFCON會(huì )議上他們關(guān)于汽車(chē)攻擊的演示很大程度上掀起了車(chē)聯(lián)網(wǎng)安全的研究熱情;2015年4月舉行的Automobile Cyber Security Summit底特律汽車(chē)安全高峰會(huì )議他們倒沒(méi)有什么新的東西(現在想來(lái)，估計是在為8月的JEEP漏洞發(fā)布蓄勢)。

Jeep破解報告

我寫(xiě)這篇文章前讀過(guò)了Charlie 和Chris關(guān)于Jeep的91頁(yè)英文破解報告——Remote Exploitation of an Unaltered Passenger Vehicle。

8月10日，我就在等這篇報告出爐，但是等到半夜沒(méi)見(jiàn)作者如期放出來(lái)。好在第二天上午首先在illmatics.com網(wǎng)上看到了PDF版本，91頁(yè)足夠多了。

我不可能把報告的細節一一描述，只根據我了解的背景知識和兩位黑客之前做的一些工作，來(lái)向大家介紹他們最近的研究工作和之前有什么不同、實(shí)現思路和用什么方式來(lái)進(jìn)行防護類(lèi)似黑客的攻擊。我會(huì )根據自己的理解寫(xiě)我的感受，不一定按照報告里的內容翻譯。

“unaltered”這個(gè)詞，意思是不加改變的，不包括插上OBD盒子、對汽車(chē)內部做手腳、接入WIFI熱點(diǎn)等等。這個(gè)詞背后的意思就是叫板，我不做手腳照樣搞掂你。

報告的前幾頁(yè)介紹了他們的汽車(chē)安全研究工作，以及破解Jeep的初心：09年以來(lái)汽車(chē)攻擊大多是以物理接觸攻擊為主，這次他們想從遠程攻擊入手，實(shí)現大規?？蓮椭菩缘钠?chē)攻 擊，這恰恰是病毒攻擊的特點(diǎn)，也是車(chē)廠(chǎng)最擔心的;另外一個(gè)原因，物理攻擊的局限性是車(chē)廠(chǎng)反饋的集中點(diǎn)。OBD入口攻擊、車(chē)里放入設備(例如攻擊 OnStar的Ownstar設備)都是因為這個(gè)理由而遭車(chē)廠(chǎng)選擇性忽視。所以，這次遠程攻擊是研究者的一次亮劍，看看車(chē)廠(chǎng)到底還有什么 理由來(lái)回避。

選Jeep不是偶然

我從FCA汽車(chē)相關(guān)人員處了解，他們不是沒(méi)有自己的cybersecurity安全團隊，只是目前規模比較小。但Jeep還是躺著(zhù)中槍了兩次!去年世界黑客大會(huì )上，Charlie 和Chris發(fā)表了對不同汽車(chē)的一項調研成果：在眾多的汽車(chē)中，Jeep由于潛在的風(fēng)險被認為是容易受攻擊的一種車(chē)輛。而今年，Jeep就真的不幸成為候選車(chē)輛。所以如果你也了解這 段歷史，當你第一次知道Jeep曝出漏洞的時(shí)候，你會(huì )和我一樣有這樣的念頭，“怎么又是Jeep?!”

破解思路：為什么選擇從娛樂(lè )系統入手?

誰(shuí)讓你把娛樂(lè )系統直接連到CAN總線(xiàn)上?攻破了娛樂(lè )系統就可以把CAN指令寫(xiě)入到CAN總線(xiàn)里，之前兩位黑客積累的私有協(xié)議CAN指令就有用武之地了，嘿嘿。

報告的第9-19頁(yè)介紹了2014款Jeep的一些輔助功能和對應的潛在攻擊點(diǎn)，不是特別重要。值得一提的是Wifi熱點(diǎn)，作者就是通過(guò)這個(gè)攻入了汽車(chē)。

之后的幾頁(yè)介紹了Jeep的Uconnect、操作系統、文件系統等等，其中的IFS越獄會(huì )在報告稍后部分介紹。

第25頁(yè)是很重要的，因為這次破解工作的出發(fā)點(diǎn)：Jeep的WPA2密碼設置很弱：按照固定的時(shí)間加上車(chē)機啟動(dòng)的秒數，生成一個(gè)密碼。這樣，只需要試不超過(guò)幾十次，密碼就可以攻破了!原本想按照車(chē)機開(kāi)啟時(shí)間加上車(chē)機啟動(dòng)時(shí)間，但是車(chē)機無(wú)法知道何時(shí)啟動(dòng)的，所以在函數start()就硬編碼了一個(gè)固定的時(shí)間：2013年1月1日零時(shí)， oops!

然后，在28頁(yè)擴大戰果，通過(guò)端口掃描發(fā)現了一系列開(kāi)放的端口，包括6667 D-Bus，一種IPC、RPC的進(jìn)程通信機制。由于D-BUS允許匿名登入，兩位破解者做了一系列的嘗試(P29)。

最后，通過(guò)對D-BUS服務(wù)的分析，發(fā)現有幾種可直接進(jìn)行操作，比如調節車(chē)機音量大小和獲取PPS數據(P31頁(yè))。

又一個(gè)發(fā)現：移動(dòng)供應商內部網(wǎng)絡(luò )

由于Uconnect可以連接到移動(dòng)運營(yíng)商Sprint，后者提供telematics服務(wù)，使用高通3G基帶芯片。雖然車(chē)機里面的TI OMAP系統不能直接連接CAN總線(xiàn)，但是兩位破解者發(fā)現了另一個(gè)絕對需要保護的地方，就是我們俗稱(chēng)的CAN控制器。這里的控制器是Renesas(有人習慣稱(chēng)為NEC)V850 MCU，這是一個(gè)比較常用的處理器，連反調試神奇IDA Pro都有相應調試模塊(P33)。 接下來(lái)就是如何越獄Uconnect，但他們指出這不是必要的，純碎是興趣所在，所以眾位看官可以跳過(guò)這一部分，如果你不是一個(gè)Geek。

第40頁(yè)開(kāi)始再次回到攻擊的正路上：利用Uconnect發(fā)出控制娛樂(lè )系統音量、空調風(fēng)扇、收音機，甚至關(guān)閉屏幕、更改開(kāi)機圖片等指令。

前面提到的D-Bus再次給攻擊者提供了新的攻擊點(diǎn)GPS，通過(guò)端口6667可以跟蹤任何一輛運行Uconnect的汽車(chē)，這為進(jìn)行大規模、任意性攻擊提供了必要條件。