出品 | 焉知
知圈 | 進“電子電氣群”請加微13636581676,備注架構(gòu)
你還記得《速度與激情8》里汽車被黑客控制,集體失控的場面嗎?
當你每天開著自己心愛的小車哼著音樂,或者坐在滴滴后排刷手機的時候,是不是這種高能場景離我們甚遠,只會在科幻電影里出現(xiàn)?
事實上,汽車被黑客攻破劫持的事件比比皆是。其中影響最大的普遍認為是2015年的菲亞特克萊斯勒汽車被“黑”事件。這是全球首例因黑客風險而召回汽車的事件,也常被認為是近年來人們重視汽車網(wǎng)絡(luò)安全的“覺醒紀元開端事件”。
2015年7月21日,兩位網(wǎng)絡(luò)安全研究員Charlie Miller and Chris Valasek在著名雜志《連線》的網(wǎng)站上展現(xiàn)了他們遠程劫持一輛Jeep Cherokee。視頻中的記者開著Cherokee上了高速公路,時速達到113km/h。Charlie和Chris則在幾公里外的家中遠程黑進了車輛:突然車內(nèi)的空調(diào)被打開,風量調(diào)到了最大。中控屏幕上繼而出現(xiàn)了Charlie和Chris的圖片。車內(nèi)音樂也突然被調(diào)至最大。記者嘗試手動把音量調(diào)小,但沒有用。這時候記者已經(jīng)有點緊張了,但是情況并沒有結(jié)束。擋風玻璃清潔功能被打開,玻璃水不斷噴在擋風玻璃上,雨刮器來回擺動,記者的前方視野被嚴重擋住。接下來發(fā)生了更嚇人的一幕:發(fā)動機被遠程關(guān)閉了,記者踩油門也不能加速汽車了。這可是在高速公路上!旁邊的車輛只能緊急避讓,不少還鳴笛示意。記者打開了車輛危險燈,電話向Charlie和Chris求救,才讓遠程劫持解除,撿回了小命。
之后視頻還展示了更多的劫持效果。這回記者開著Cherokee在封閉場地內(nèi)低速行駛,突然方向盤轉(zhuǎn)向被遠程控制,車門鎖被打開,儀表上的車速信息錯亂,剎車失靈……最終車輛掉到了一個小溝溝里才結(jié)束了這場演示。
視頻中Charlie和Chris表達了自己并不是惡意的黑客,也已經(jīng)把安全漏洞告知給了菲亞特克萊斯勒公司,以助其發(fā)布安全補丁。他們希望通過這次事件,為人們敲響警鐘,更多地關(guān)注重視汽車上的網(wǎng)絡(luò)安全。畢竟汽車已經(jīng)不是傳統(tǒng)的汽車,而是越來越“互聯(lián)網(wǎng)化”。
視頻發(fā)布后僅三天,在2015年7月24日,菲亞特克萊斯勒美國公司就這一事件公開回應(yīng),宣布召回約140萬輛存在軟件漏洞的汽車。這是全球首例因黑客風險而召回汽車的事件。
那么究竟當時的Jeep Cherokee存在什么樣的漏洞?Charlie和Chris又是如何破解車輛,遠程“黑”進去的呢?這兩位安全研究員在2015年8月舉行的黑帽子論壇上做了詳細披露,今天我們就來扒一扒。
圖: 黑帽子論壇現(xiàn)場(左Chris,右Charlie)
首先我們先來看看2014款Cherokee的網(wǎng)絡(luò)拓撲架構(gòu)。車內(nèi)網(wǎng)絡(luò)主要包含CAN(Controller Area Network)總線和LIN(Local Interconnect Network)總線。
其中“CAN-C”是底盤CAN網(wǎng)絡(luò),一般包含剎車、油門和轉(zhuǎn)向等信息。
“CAN IHS”則是舒適CAN網(wǎng)絡(luò),一般包含空調(diào)、座椅加熱、儀表等信息。
“LIN”則是更低性能要求的低成本網(wǎng)絡(luò),一般用于車窗升降等。“BCM”是車身控制模塊,也充當車內(nèi)網(wǎng)關(guān)的角色,轉(zhuǎn)發(fā)不同網(wǎng)絡(luò)間的信息。
“Radio”對應(yīng)的就是菲亞特克萊斯勒公司的Uconnect車機系統(tǒng)。這是車端通過藍牙和移動網(wǎng)絡(luò)的方式與車外通訊的關(guān)鍵節(jié)點
。控制了這個“Radio”節(jié)點,就可以“黑”進“CAN-C”和“CAN-IHS”兩個網(wǎng)絡(luò),控制車輛的底盤功能和舒適功能了。
那該如何“黑”進去呢?Charlie和Chris先嘗試了Wi-Fi這條路。
對于付費訂閱了熱點功能的Cherokee, Uconnect車機系統(tǒng)可以提供Wi-Fi熱點連接到其他移動設(shè)備,比如手機或者筆記本電腦。跟我們平時用手機設(shè)置熱點一樣,車主可以選擇WPA2/WPA或者WEP安全方式進行加密。默認采用WPA2(WEP安全等級更低)。而要登錄進去WPA2包含的網(wǎng)絡(luò),需要WPA2的Wi-Fi密碼。
到這里,大家是不是感覺場景很熟悉?沒錯,這跟我們第一次去朋友家里,沒有Wi-Fi密碼就上不了網(wǎng),一個意思!平時我們會直接問朋友,密碼是什么。但對Charlie和Chris來說,他們怎么才能知道這個密碼呢?
原來Uconnect主芯片采用了TI的OMAP芯片,上面運行的是QNX操作系統(tǒng)。(有沒有眼熟?當年風行全球的諾基亞N92/ N93等機型用的也是OMAP系列芯片。)其配套的QNX虛擬機環(huán)境可以提供一個脫離硬件的檢查和測試的手段。這相當于給安全研究員提供了一個PC“開發(fā)套件”。利用這個虛擬機,外加可以從官網(wǎng)直接下載的Uconnect的升級軟件文件,Charlie和Chris逆向出了Wi-Fi密碼算法:Uconnect系統(tǒng)第一次上電的時候,會基于當時的時間轉(zhuǎn)換出一個ASCII碼作為密碼。按常識推斷出汽車的生產(chǎn)年份和月份后,大概需要1500萬次嘗試可以暴力破解密碼。雖然數(shù)字看上去很大,但配合普通計算機,只需一個小時就可以完成破解。
而這時Charlie和Chris還發(fā)現(xiàn)了一個額外的漏洞,使得密碼破解更加簡單。原來車輛上的時間來自于GPS信號。而Uconnect設(shè)置Wi-Fi密碼時(一般在汽車生產(chǎn)產(chǎn)線上),車輛大概率會因為GPS信號缺失而并未進行GPS時間信號設(shè)置,而統(tǒng)一使用默認的系統(tǒng)時間00:00:00 Jan 1, 2013 GMT。也就是說,不管Uconnect實際上在什么時候初次上電,它都會以為自己初次上電時是2013年1月1日零時附近。再考慮上Uconnect系統(tǒng)自身啟動的延時,Wi-Fi密碼實際上只有幾十個可能性。這通過計算機破解,一秒內(nèi)就能完成。
就這樣,安全研究員就通過Wi-Fi“黑”進了系統(tǒng)。但這是可能有同學就會提出:熱點連接畢竟要車主付費了才能激活,即使車主付過費,熱點連接的設(shè)備與車輛物理距離也就最多幾十米,威脅程度還是有限啊。
Charlie和Chris也有類似想法,所以這并不是破解的終點。
除了Wi-Fi熱點功能外,Uconnect還具有3G移動網(wǎng)絡(luò)通訊功能,
可以在Sprint(一家美國移動運營商,后與T-Mobile合并)的移動網(wǎng)絡(luò)內(nèi)通訊。而這個車聯(lián)網(wǎng)功能并不需要車主額外付費,Uconnect系統(tǒng)自動激活允許該通訊。他們在eBay上買了一個小型基站“femtocell”,利用它進入到Sprint網(wǎng)絡(luò)并進行批量掃描存在漏洞的IP端口地址。這些存在漏洞的IP端口,是他們在破解Wi-Fi時發(fā)現(xiàn)的。有趣的是,要“黑”進某輛特定的車,還需要掃描出它特定的IP地址。而批量IP地址處理,即“黑”進一大批車,則不需要這步,更加簡單。這就像轟炸機要摧毀某個房子里的衛(wèi)生間還需要精準定位,而摧毀整座村莊的任務(wù)則會來得更加簡單。
通過移動網(wǎng)絡(luò)“黑”進Uconnect的OMAP芯片后,接下來怎么控制車輛?正常情況下,車輛控制信息都只在車內(nèi)CAN網(wǎng)絡(luò)通訊,“車聯(lián)網(wǎng)”功能相關(guān)的移動互聯(lián)網(wǎng)與CAN網(wǎng)絡(luò)存在通訊物理層的隔離。具體如下圖所示,Uconnect控制單元內(nèi)有兩塊芯片,OMAP負責移動端,V850負責CAN端,二者河水不犯井水。兩塊芯片間通過SPI控制總線連接,本來只是進行升級或者診斷等基本操作,但這卻為研究員從移動互聯(lián)網(wǎng)走進CAN網(wǎng)絡(luò)留了一扇門。
Charlie和Chris研究上文提到的官網(wǎng)上的升級文件和兩塊芯片的數(shù)據(jù)資料后發(fā)現(xiàn):遠程控制OMAP芯片后,可以通過SPI升級V850的固件,而且所升級的固件并不需要進行簽名驗證。利用這個漏洞,他們更換了V850的固件,使得V850可以根據(jù)OMAP在SPI上傳輸?shù)膶崟r信息生成相應(yīng)的“偽裝”CAN報文,發(fā)送到CAN網(wǎng)絡(luò)上,從而控制車輛空調(diào)、發(fā)動機啟停和剎車等。通過監(jiān)聽CAN網(wǎng)絡(luò)和試錯等方式,Charlie和Chris還破解了相關(guān)CAN報文的具體數(shù)據(jù)定義、Checksum算法等。這樣他們不但可以操作CAN通訊報文,還可以操作CAN診斷報文。例如讓雨刮器噴玻璃水的操作屬于通訊報文,而讓發(fā)動機關(guān)閉的操作則是通過診斷報文讓發(fā)動機控制器進入診斷模式而實現(xiàn)。
看完整個故事以后,你是否覺得平時習以為常的汽車駕駛變的沒有那么“安全”了?不用擔心,值得注意的是,Charlie和Chris早就將安全漏洞公開,并協(xié)助菲亞特克萊斯勒公司提供補丁,所以想復制這個操作的小伙伴也不用費心了。這兩位安全研究員的意圖也是通過公開安全漏洞,引起人們對汽車網(wǎng)絡(luò)安全的重視,希望汽車網(wǎng)絡(luò)可以越來越安全,人們越來越有信心。而確實,這起“覺醒紀元開端事件”也催生了諸如ISO21434等汽車網(wǎng)絡(luò)安全標準,相信我們的汽車網(wǎng)絡(luò)在功能越來越強大的同時,也會越來越安全!
1. Remote Exploitation of an Unaltered Passenger Vehicle - Dr. Charlie Miller, Chris Valasek
2. Hackers Remotely Kill a Jeep on the Highway—With Me in It - Wired
