Jeep如何被黑客攻擊的 破解報告獨家揭秘

2015年8月全球最大的黑客大會DEFCON掀起了汽車攻擊的一次高潮,兩萬多名黑客和安全從事人員在美國拉斯維加斯目睹了一次又一次的汽車破解演示。正是像他們這樣的攻擊者過去2年內在汽車安全領域的專注和貢獻，讓保守的美國車廠將之前只有內部知道的汽車安全隱患不得不逐漸讓公眾了解，直到今年7月克萊斯勒公司在美國大規(guī)模召回140萬輛Jeep。

作為國內最早一批投身車聯(lián)網(wǎng)安全的研究人員，我欣慰地看到了汽車安全是如何從一個偏門的研究領域到現(xiàn)在被人們重視，而且這群“人們”里面包括了車廠和相關的車聯(lián)網(wǎng)廠商。所以，我大膽且堅定地認為，2015年是汽車安全的元年。

黑客雙雄：Charlie Miller和Chris Valasek

Jeep破解事件的黑客是來自美國的Charlie Miller和Chris Valasek，他們分別在IOActive 和Twitter就職。但是，黑客工作只是他們自己的興趣愛好，與其所在公司沒有太多關系。他們倆目前在汽車黑客界應該是最火的，這就難怪由他們在的黑客大會會場水泄不通、甚至連站的地方都沒有了。

我與Charlie Miller和Chris Valasek會過兩次面，并與他們就汽車防護工作進行過討論：2013年DEFCON會議上他們關于汽車攻擊的演示很大程度上掀起了車聯(lián)網(wǎng)安全的研究熱情;2015年4月舉行的Automobile Cyber Security Summit底特律汽車安全高峰會議他們倒沒有什么新的東西(現(xiàn)在想來，估計是在為8月的JEEP漏洞發(fā)布蓄勢)。

Jeep破解報告

我寫這篇文章前讀過了Charlie 和Chris關于Jeep的91頁英文破解報告——Remote Exploitation of an Unaltered Passenger Vehicle。

8月10日，我就在等這篇報告出爐，但是等到半夜沒見作者如期放出來。好在第二天上午首先在illmatics.com網(wǎng)上看到了PDF版本，91頁足夠多了。

我不可能把報告的細節(jié)一一描述，只根據(jù)我了解的背景知識和兩位黑客之前做的一些工作，來向大家介紹他們最近的研究工作和之前有什么不同、實現(xiàn)思路和用什么方式來進行防護類似黑客的攻擊。我會根據(jù)自己的理解寫我的感受，不一定按照報告里的內容翻譯。

“unaltered”這個詞，意思是不加改變的，不包括插上OBD盒子、對汽車內部做手腳、接入WIFI熱點等等。這個詞背后的意思就是叫板，我不做手腳照樣搞掂你。

報告的前幾頁介紹了他們的汽車安全研究工作，以及破解Jeep的初心：09年以來汽車攻擊大多是以物理接觸攻擊為主，這次他們想從遠程攻擊入手，實現(xiàn)大規(guī)模可復制性的汽車攻 擊，這恰恰是病毒攻擊的特點，也是車廠最擔心的;另外一個原因，物理攻擊的局限性是車廠反饋的集中點。OBD入口攻擊、車里放入設備(例如攻擊 OnStar的Ownstar設備)都是因為這個理由而遭車廠選擇性忽視。所以，這次遠程攻擊是研究者的一次亮劍，看看車廠到底還有什么 理由來回避。

選Jeep不是偶然

我從FCA汽車相關人員處了解，他們不是沒有自己的cybersecurity安全團隊，只是目前規(guī)模比較小。但Jeep還是躺著中槍了兩次!去年世界黑客大會上，Charlie 和Chris發(fā)表了對不同汽車的一項調研成果：在眾多的汽車中，Jeep由于潛在的風險被認為是容易受攻擊的一種車輛。而今年，Jeep就真的不幸成為候選車輛。所以如果你也了解這 段歷史，當你第一次知道Jeep曝出漏洞的時候，你會和我一樣有這樣的念頭，“怎么又是Jeep?!”

破解思路：為什么選擇從娛樂系統(tǒng)入手?

誰讓你把娛樂系統(tǒng)直接連到CAN總線上?攻破了娛樂系統(tǒng)就可以把CAN指令寫入到CAN總線里，之前兩位黑客積累的私有協(xié)議CAN指令就有用武之地了，嘿嘿。

報告的第9-19頁介紹了2014款Jeep的一些輔助功能和對應的潛在攻擊點，不是特別重要。值得一提的是Wifi熱點，作者就是通過這個攻入了汽車。

之后的幾頁介紹了Jeep的Uconnect、操作系統(tǒng)、文件系統(tǒng)等等，其中的IFS越獄會在報告稍后部分介紹。

第25頁是很重要的，因為這次破解工作的出發(fā)點：Jeep的WPA2密碼設置很弱：按照固定的時間加上車機啟動的秒數(shù)，生成一個密碼。這樣，只需要試不超過幾十次，密碼就可以攻破了!原本想按照車機開啟時間加上車機啟動時間，但是車機無法知道何時啟動的，所以在函數(shù)start()就硬編碼了一個固定的時間：2013年1月1日零時， oops!

然后，在28頁擴大戰(zhàn)果，通過端口掃描發(fā)現(xiàn)了一系列開放的端口，包括6667 D-Bus，一種IPC、RPC的進程通信機制。由于D-BUS允許匿名登入，兩位破解者做了一系列的嘗試(P29)。

最后，通過對D-BUS服務的分析，發(fā)現(xiàn)有幾種可直接進行操作，比如調節(jié)車機音量大小和獲取PPS數(shù)據(jù)(P31頁)。

又一個發(fā)現(xiàn)：移動供應商內部網(wǎng)絡

由于Uconnect可以連接到移動運營商Sprint，后者提供telematics服務，使用高通3G基帶芯片。雖然車機里面的TI OMAP系統(tǒng)不能直接連接CAN總線，但是兩位破解者發(fā)現(xiàn)了另一個絕對需要保護的地方，就是我們俗稱的CAN控制器。這里的控制器是Renesas(有人習慣稱為NEC)V850 MCU，這是一個比較常用的處理器，連反調試神奇IDA Pro都有相應調試模塊(P33)。 接下來就是如何越獄Uconnect，但他們指出這不是必要的，純碎是興趣所在，所以眾位看官可以跳過這一部分，如果你不是一個Geek。

第40頁開始再次回到攻擊的正路上：利用Uconnect發(fā)出控制娛樂系統(tǒng)音量、空調風扇、收音機，甚至關閉屏幕、更改開機圖片等指令。

前面提到的D-Bus再次給攻擊者提供了新的攻擊點GPS，通過端口6667可以跟蹤任何一輛運行Uconnect的汽車，這為進行大規(guī)模、任意性攻擊提供了必要條件。