Jeep如何被黑客攻擊的 破解報(bào)告獨(dú)家揭秘

2015年8月全球最大的黑客大會(huì)DEFCON掀起了汽車(chē)攻擊的一次高潮,兩萬(wàn)多名黑客和安全從事人員在美國(guó)拉斯維加斯目睹了一次又一次的汽車(chē)破解演示。正是像他們這樣的攻擊者過(guò)去2年內(nèi)在汽車(chē)安全領(lǐng)域的專(zhuān)注和貢獻(xiàn)，讓保守的美國(guó)車(chē)廠將之前只有內(nèi)部知道的汽車(chē)安全隱患不得不逐漸讓公眾了解，直到今年7月克萊斯勒公司在美國(guó)大規(guī)模召回140萬(wàn)輛Jeep。

作為國(guó)內(nèi)最早一批投身車(chē)聯(lián)網(wǎng)安全的研究人員，我欣慰地看到了汽車(chē)安全是如何從一個(gè)偏門(mén)的研究領(lǐng)域到現(xiàn)在被人們重視，而且這群“人們”里面包括了車(chē)廠和相關(guān)的車(chē)聯(lián)網(wǎng)廠商。所以，我大膽且堅(jiān)定地認(rèn)為，2015年是汽車(chē)安全的元年。

黑客雙雄：Charlie Miller和Chris Valasek

Jeep破解事件的黑客是來(lái)自美國(guó)的Charlie Miller和Chris Valasek，他們分別在IOActive 和Twitter就職。但是，黑客工作只是他們自己的興趣愛(ài)好，與其所在公司沒(méi)有太多關(guān)系。他們倆目前在汽車(chē)黑客界應(yīng)該是最火的，這就難怪由他們?cè)诘暮诳痛髸?huì)會(huì)場(chǎng)水泄不通、甚至連站的地方都沒(méi)有了。

我與Charlie Miller和Chris Valasek會(huì)過(guò)兩次面，并與他們就汽車(chē)防護(hù)工作進(jìn)行過(guò)討論：2013年DEFCON會(huì)議上他們關(guān)于汽車(chē)攻擊的演示很大程度上掀起了車(chē)聯(lián)網(wǎng)安全的研究熱情;2015年4月舉行的Automobile Cyber Security Summit底特律汽車(chē)安全高峰會(huì)議他們倒沒(méi)有什么新的東西(現(xiàn)在想來(lái)，估計(jì)是在為8月的JEEP漏洞發(fā)布蓄勢(shì))。

Jeep破解報(bào)告

我寫(xiě)這篇文章前讀過(guò)了Charlie 和Chris關(guān)于Jeep的91頁(yè)英文破解報(bào)告——Remote Exploitation of an Unaltered Passenger Vehicle。

8月10日，我就在等這篇報(bào)告出爐，但是等到半夜沒(méi)見(jiàn)作者如期放出來(lái)。好在第二天上午首先在illmatics.com網(wǎng)上看到了PDF版本，91頁(yè)足夠多了。

我不可能把報(bào)告的細(xì)節(jié)一一描述，只根據(jù)我了解的背景知識(shí)和兩位黑客之前做的一些工作，來(lái)向大家介紹他們最近的研究工作和之前有什么不同、實(shí)現(xiàn)思路和用什么方式來(lái)進(jìn)行防護(hù)類(lèi)似黑客的攻擊。我會(huì)根據(jù)自己的理解寫(xiě)我的感受，不一定按照?qǐng)?bào)告里的內(nèi)容翻譯。

“unaltered”這個(gè)詞，意思是不加改變的，不包括插上OBD盒子、對(duì)汽車(chē)內(nèi)部做手腳、接入WIFI熱點(diǎn)等等。這個(gè)詞背后的意思就是叫板，我不做手腳照樣搞掂你。

報(bào)告的前幾頁(yè)介紹了他們的汽車(chē)安全研究工作，以及破解Jeep的初心：09年以來(lái)汽車(chē)攻擊大多是以物理接觸攻擊為主，這次他們想從遠(yuǎn)程攻擊入手，實(shí)現(xiàn)大規(guī)?？蓮?fù)制性的汽車(chē)攻 擊，這恰恰是病毒攻擊的特點(diǎn)，也是車(chē)廠最擔(dān)心的;另外一個(gè)原因，物理攻擊的局限性是車(chē)廠反饋的集中點(diǎn)。OBD入口攻擊、車(chē)?yán)锓湃朐O(shè)備(例如攻擊 OnStar的Ownstar設(shè)備)都是因?yàn)檫@個(gè)理由而遭車(chē)廠選擇性忽視。所以，這次遠(yuǎn)程攻擊是研究者的一次亮劍，看看車(chē)廠到底還有什么 理由來(lái)回避。

選Jeep不是偶然

我從FCA汽車(chē)相關(guān)人員處了解，他們不是沒(méi)有自己的cybersecurity安全團(tuán)隊(duì)，只是目前規(guī)模比較小。但Jeep還是躺著中槍了兩次!去年世界黑客大會(huì)上，Charlie 和Chris發(fā)表了對(duì)不同汽車(chē)的一項(xiàng)調(diào)研成果：在眾多的汽車(chē)中，Jeep由于潛在的風(fēng)險(xiǎn)被認(rèn)為是容易受攻擊的一種車(chē)輛。而今年，Jeep就真的不幸成為候選車(chē)輛。所以如果你也了解這 段歷史，當(dāng)你第一次知道Jeep曝出漏洞的時(shí)候，你會(huì)和我一樣有這樣的念頭，“怎么又是Jeep?!”

破解思路：為什么選擇從娛樂(lè)系統(tǒng)入手?

誰(shuí)讓你把娛樂(lè)系統(tǒng)直接連到CAN總線上?攻破了娛樂(lè)系統(tǒng)就可以把CAN指令寫(xiě)入到CAN總線里，之前兩位黑客積累的私有協(xié)議CAN指令就有用武之地了，嘿嘿。

報(bào)告的第9-19頁(yè)介紹了2014款Jeep的一些輔助功能和對(duì)應(yīng)的潛在攻擊點(diǎn)，不是特別重要。值得一提的是Wifi熱點(diǎn)，作者就是通過(guò)這個(gè)攻入了汽車(chē)。

之后的幾頁(yè)介紹了Jeep的Uconnect、操作系統(tǒng)、文件系統(tǒng)等等，其中的IFS越獄會(huì)在報(bào)告稍后部分介紹。

第25頁(yè)是很重要的，因?yàn)檫@次破解工作的出發(fā)點(diǎn)：Jeep的WPA2密碼設(shè)置很弱：按照固定的時(shí)間加上車(chē)機(jī)啟動(dòng)的秒數(shù)，生成一個(gè)密碼。這樣，只需要試不超過(guò)幾十次，密碼就可以攻破了!原本想按照車(chē)機(jī)開(kāi)啟時(shí)間加上車(chē)機(jī)啟動(dòng)時(shí)間，但是車(chē)機(jī)無(wú)法知道何時(shí)啟動(dòng)的，所以在函數(shù)start()就硬編碼了一個(gè)固定的時(shí)間：2013年1月1日零時(shí)， oops!

然后，在28頁(yè)擴(kuò)大戰(zhàn)果，通過(guò)端口掃描發(fā)現(xiàn)了一系列開(kāi)放的端口，包括6667 D-Bus，一種IPC、RPC的進(jìn)程通信機(jī)制。由于D-BUS允許匿名登入，兩位破解者做了一系列的嘗試(P29)。

最后，通過(guò)對(duì)D-BUS服務(wù)的分析，發(fā)現(xiàn)有幾種可直接進(jìn)行操作，比如調(diào)節(jié)車(chē)機(jī)音量大小和獲取PPS數(shù)據(jù)(P31頁(yè))。

又一個(gè)發(fā)現(xiàn)：移動(dòng)供應(yīng)商內(nèi)部網(wǎng)絡(luò)

由于Uconnect可以連接到移動(dòng)運(yùn)營(yíng)商Sprint，后者提供telematics服務(wù)，使用高通3G基帶芯片。雖然車(chē)機(jī)里面的TI OMAP系統(tǒng)不能直接連接CAN總線，但是兩位破解者發(fā)現(xiàn)了另一個(gè)絕對(duì)需要保護(hù)的地方，就是我們俗稱(chēng)的CAN控制器。這里的控制器是Renesas(有人習(xí)慣稱(chēng)為NEC)V850 MCU，這是一個(gè)比較常用的處理器，連反調(diào)試神奇IDA Pro都有相應(yīng)調(diào)試模塊(P33)。 接下來(lái)就是如何越獄Uconnect，但他們指出這不是必要的，純碎是興趣所在，所以眾位看官可以跳過(guò)這一部分，如果你不是一個(gè)Geek。

第40頁(yè)開(kāi)始再次回到攻擊的正路上：利用Uconnect發(fā)出控制娛樂(lè)系統(tǒng)音量、空調(diào)風(fēng)扇、收音機(jī)，甚至關(guān)閉屏幕、更改開(kāi)機(jī)圖片等指令。

前面提到的D-Bus再次給攻擊者提供了新的攻擊點(diǎn)GPS，通過(guò)端口6667可以跟蹤任何一輛運(yùn)行Uconnect的汽車(chē)，這為進(jìn)行大規(guī)模、任意性攻擊提供了必要條件。