出品 | 焉知
知圈 | 进“电子电气群”请加微13636581676,备注架构
你还记得《速度与激情8》里汽车被黑客控制,集体失控的场面吗?
当你每天开着自己心爱的小车哼着音乐,或者坐在滴滴后排刷手机的时候,是不是这种高能场景离我们甚远,只会在科幻电影里出现?
事实上,汽车被黑客攻破劫持的事件比比皆是。其中影响最大的普遍认为是2015年的菲亚特克莱斯勒汽车被“黑”事件。这是全球首例因黑客风险而召回汽车的事件,也常被认为是近年来人们重视汽车网络安全的“觉醒纪元开端事件”。
2015年7月21日,两位网络安全研究员Charlie Miller and Chris Valasek在著名杂志《连线》的网站上展现了他们远程劫持一辆Jeep Cherokee。视频中的记者开着Cherokee上了高速公路,时速达到113km/h。Charlie和Chris则在几公里外的家中远程黑进了车辆:突然车内的空调被打开,风量调到了最大。中控屏幕上继而出现了Charlie和Chris的图片。车内音乐也突然被调至最大。记者尝试手动把音量调小,但没有用。这时候记者已经有点紧张了,但是情况并没有结束。挡风玻璃清洁功能被打开,玻璃水不断喷在挡风玻璃上,雨刮器来回摆动,记者的前方视野被严重挡住。接下来发生了更吓人的一幕:发动机被远程关闭了,记者踩油门也不能加速汽车了。这可是在高速公路上!旁边的车辆只能紧急避让,不少还鸣笛示意。记者打开了车辆危险灯,电话向Charlie和Chris求救,才让远程劫持解除,捡回了小命。
之后视频还展示了更多的劫持效果。这回记者开着Cherokee在封闭场地内低速行驶,突然方向盘转向被远程控制,车门锁被打开,仪表上的车速信息错乱,刹车失灵……最终车辆掉到了一个小沟沟里才结束了这场演示。
视频中Charlie和Chris表达了自己并不是恶意的黑客,也已经把安全漏洞告知给了菲亚特克莱斯勒公司,以助其发布安全补丁。他们希望通过这次事件,为人们敲响警钟,更多地关注重视汽车上的网络安全。毕竟汽车已经不是传统的汽车,而是越来越“互联网化”。
视频发布后仅三天,在2015年7月24日,菲亚特克莱斯勒美国公司就这一事件公开回应,宣布召回约140万辆存在软件漏洞的汽车。这是全球首例因黑客风险而召回汽车的事件。
那么究竟当时的Jeep Cherokee存在什么样的漏洞?Charlie和Chris又是如何破解车辆,远程“黑”进去的呢?这两位安全研究员在2015年8月举行的黑帽子论坛上做了详细披露,今天我们就来扒一扒。
图: 黑帽子论坛现场(左Chris,右Charlie)
首先我们先来看看2014款Cherokee的网络拓扑架构。车内网络主要包含CAN(Controller Area Network)总线和LIN(Local Interconnect Network)总线。
其中“CAN-C”是底盘CAN网络,一般包含刹车、油门和转向等信息。
“CAN IHS”则是舒适CAN网络,一般包含空调、座椅加热、仪表等信息。
“LIN”则是更低性能要求的低成本网络,一般用于车窗升降等。“BCM”是车身控制模块,也充当车内网关的角色,转发不同网络间的信息。
“Radio”对应的就是菲亚特克莱斯勒公司的Uconnect车机系统。这是车端通过蓝牙和移动网络的方式与车外通讯的关键节点
。控制了这个“Radio”节点,就可以“黑”进“CAN-C”和“CAN-IHS”两个网络,控制车辆的底盘功能和舒适功能了。
那该如何“黑”进去呢?Charlie和Chris先尝试了Wi-Fi这条路。
对于付费订阅了热点功能的Cherokee, Uconnect车机系统可以提供Wi-Fi热点连接到其他移动设备,比如手机或者笔记本电脑。跟我们平时用手机设置热点一样,车主可以选择WPA2/WPA或者WEP安全方式进行加密。默认采用WPA2(WEP安全等级更低)。而要登录进去WPA2包含的网络,需要WPA2的Wi-Fi密码。
到这里,大家是不是感觉场景很熟悉?没错,这跟我们第一次去朋友家里,没有Wi-Fi密码就上不了网,一个意思!平时我们会直接问朋友,密码是什么。但对Charlie和Chris来说,他们怎么才能知道这个密码呢?
原来Uconnect主芯片采用了TI的OMAP芯片,上面运行的是QNX操作系统。(有没有眼熟?当年风行全球的诺基亚N92/ N93等机型用的也是OMAP系列芯片。)其配套的QNX虚拟机环境可以提供一个脱离硬件的检查和测试的手段。这相当于给安全研究员提供了一个PC“开发套件”。利用这个虚拟机,外加可以从官网直接下载的Uconnect的升级软件文件,Charlie和Chris逆向出了Wi-Fi密码算法:Uconnect系统第一次上电的时候,会基于当时的时间转换出一个ASCII码作为密码。按常识推断出汽车的生产年份和月份后,大概需要1500万次尝试可以暴力破解密码。虽然数字看上去很大,但配合普通计算机,只需一个小时就可以完成破解。
而这时Charlie和Chris还发现了一个额外的漏洞,使得密码破解更加简单。原来车辆上的时间来自于GPS信号。而Uconnect设置Wi-Fi密码时(一般在汽车生产产线上),车辆大概率会因为GPS信号缺失而并未进行GPS时间信号设置,而统一使用默认的系统时间00:00:00 Jan 1, 2013 GMT。也就是说,不管Uconnect实际上在什么时候初次上电,它都会以为自己初次上电时是2013年1月1日零时附近。再考虑上Uconnect系统自身启动的延时,Wi-Fi密码实际上只有几十个可能性。这通过计算机破解,一秒内就能完成。
就这样,安全研究员就通过Wi-Fi“黑”进了系统。但这是可能有同学就会提出:热点连接毕竟要车主付费了才能激活,即使车主付过费,热点连接的设备与车辆物理距离也就最多几十米,威胁程度还是有限啊。
Charlie和Chris也有类似想法,所以这并不是破解的终点。
除了Wi-Fi热点功能外,Uconnect还具有3G移动网络通讯功能,
可以在Sprint(一家美国移动运营商,后与T-Mobile合并)的移动网络内通讯。而这个车联网功能并不需要车主额外付费,Uconnect系统自动激活允许该通讯。他们在eBay上买了一个小型基站“femtocell”,利用它进入到Sprint网络并进行批量扫描存在漏洞的IP端口地址。这些存在漏洞的IP端口,是他们在破解Wi-Fi时发现的。有趣的是,要“黑”进某辆特定的车,还需要扫描出它特定的IP地址。而批量IP地址处理,即“黑”进一大批车,则不需要这步,更加简单。这就像轰炸机要摧毁某个房子里的卫生间还需要精准定位,而摧毁整座村庄的任务则会来得更加简单。
通过移动网络“黑”进Uconnect的OMAP芯片后,接下来怎么控制车辆?正常情况下,车辆控制信息都只在车内CAN网络通讯,“车联网”功能相关的移动互联网与CAN网络存在通讯物理层的隔离。具体如下图所示,Uconnect控制单元内有两块芯片,OMAP负责移动端,V850负责CAN端,二者河水不犯井水。两块芯片间通过SPI控制总线连接,本来只是进行升级或者诊断等基本操作,但这却为研究员从移动互联网走进CAN网络留了一扇门。
Charlie和Chris研究上文提到的官网上的升级文件和两块芯片的数据资料后发现:远程控制OMAP芯片后,可以通过SPI升级V850的固件,而且所升级的固件并不需要进行签名验证。利用这个漏洞,他们更换了V850的固件,使得V850可以根据OMAP在SPI上传输的实时信息生成相应的“伪装”CAN报文,发送到CAN网络上,从而控制车辆空调、发动机启停和刹车等。通过监听CAN网络和试错等方式,Charlie和Chris还破解了相关CAN报文的具体数据定义、Checksum算法等。这样他们不但可以操作CAN通讯报文,还可以操作CAN诊断报文。例如让雨刮器喷玻璃水的操作属于通讯报文,而让发动机关闭的操作则是通过诊断报文让发动机控制器进入诊断模式而实现。
看完整个故事以后,你是否觉得平时习以为常的汽车驾驶变的没有那么“安全”了?不用担心,值得注意的是,Charlie和Chris早就将安全漏洞公开,并协助菲亚特克莱斯勒公司提供补丁,所以想复制这个操作的小伙伴也不用费心了。这两位安全研究员的意图也是通过公开安全漏洞,引起人们对汽车网络安全的重视,希望汽车网络可以越来越安全,人们越来越有信心。而确实,这起“觉醒纪元开端事件”也催生了诸如ISO21434等汽车网络安全标准,相信我们的汽车网络在功能越来越强大的同时,也会越来越安全!
1. Remote Exploitation of an Unaltered Passenger Vehicle - Dr. Charlie Miller, Chris Valasek
2. Hackers Remotely Kill a Jeep on the Highway—With Me in It - Wired
2021年6月18日 10:05
