汽車被黑客破解已經(jīng)有不少案例��,包括特斯拉�����、奔馳等豪車都難逃“黑手”���。不過經(jīng)過工具掃描出來的漏洞只是理論上的,黑客破解所得利益與所花時(shí)間和成本之間的比例究竟如何還不得而知����,而且漏洞的根源到底在哪也是車云菌好奇之處。
最近����,360破解團(tuán)隊(duì)向車云菌重現(xiàn)了破解汽車通訊協(xié)議的場(chǎng)景。當(dāng)問到破解所耗時(shí)間��,360的安全工程師老聞停頓了一下���,“不到1周吧�����?!?/p>
“什么�?”,車云菌難掩吃驚的表情����,“1周就攻破了?”
“嗯����,鑒于我們之前有攻破Tesla的經(jīng)驗(yàn),所以后面就比較快”�,老聞手里把玩著車鑰匙�����,“而且有些車底層用的是傳統(tǒng)的CAN總線���,從云端下來的指令是不經(jīng)驗(yàn)證直接執(zhí)行的,所以理論上什么操作都可以�����,比Tesla的以太網(wǎng)總線輕松不少�。”
對(duì)于我們最為關(guān)心的“所得利益與所花時(shí)間和成本”的問題���,360給出了一個(gè)驚人的答案����。
黑客一任性���,后果很嚴(yán)重
“那破解了之后�,我能對(duì)這輛車做些什么�����?”
“鑰匙和合法遙控手機(jī)都不用,OBD接口空著�,我只需要一臺(tái)筆記本����,來實(shí)現(xiàn)尋車、解鎖����、著車?�!?/p>
“這么高權(quán)限��?”��,車云菌心中閃過一絲狐疑����,“你是拆過原廠鑰匙,取過ID(身份識(shí)別碼)����?還是把合法手機(jī)越獄了導(dǎo)出了密匙文件?”
老聞哈哈大笑,“那也太low了���,跟OBD一樣沒技術(shù)含量��。這么說吧�����,你只要跟我用過同一個(gè)WiFi��,或者點(diǎn)擊過我發(fā)的微信釣魚鏈接��,我就能開走你的車�����,咱倆不必認(rèn)識(shí)�����,完全可以素昧平生�。最關(guān)鍵的是���,哪怕我開走了����,這車所處的云平臺(tái)也不會(huì)對(duì)你發(fā)出任何警告信息?���!?/p>
跟著老聞,車云菌走進(jìn)地庫(kù)�����,仔細(xì)檢查這臺(tái)海藍(lán)色車�,包括外觀���、乘員艙���、發(fā)動(dòng)機(jī)艙、后備廂��、充電口�、加油口,確認(rèn)無誤后��,沒收了老聞手里的合法鑰匙���,以及裝有該車云服務(wù)app的安卓手機(jī)���,然后請(qǐng)老聞實(shí)施攻擊��。
老聞的一名同事熟練的掏出一臺(tái)Macbook��,執(zhí)行了一段python代碼���,敲下回車,大概1秒鐘����,車子鳴笛并雙閃,尋車指令成功執(zhí)行�。
然后是解鎖,同樣一段python代碼����,執(zhí)行參數(shù)改一下,大燈點(diǎn)亮�����,車門隨意開�。
通過電腦破解車輛����,大燈點(diǎn)亮�����,車門解鎖
“咳”����,老聞清了清嗓子,“這無非就損失點(diǎn)兒財(cái)物���,危害性并不大,而且這款車的手機(jī)app也支持這倆功能��。這么著�,我們來點(diǎn)兒好玩的,你先把車鎖上��?!?/p>
車云菌按下手中的遙控鑰匙,車子應(yīng)聲上鎖��。同事小伙子接著執(zhí)行代碼����,全車燈光再次亮起��,隨著清脆的一響��,發(fā)動(dòng)機(jī)開始運(yùn)轉(zhuǎn)�����。車云菌大為震驚���,想拉開車門看看儀表盤有無“非法運(yùn)行”等提示,無奈車門還是鎖閉狀態(tài)�����,而儀表盤上所有信息貌似一切正常���,車云菌立即按下快門�,記錄了當(dāng)時(shí)的狀態(tài)����。
遠(yuǎn)程破解著車,儀表盤上正常顯示車輛狀態(tài)
“這還不算什么����,無非是車子被盜�����,手機(jī)在你身上���,被盜車輛的位置還是可以查到的”,老聞不急不躁的接著侃��,“我進(jìn)去先開車”�����,隨后給同事使了個(gè)眼色�。老聞上車后掛了倒檔,稍帶剎車�,車子緩緩倒車��;然后老聞舉起雙手����,示意他不再操作車輛,此時(shí)車外的同事再次執(zhí)行尋車代碼��,喇叭也再次鳴響,雙閃點(diǎn)亮�����!
車輛倒車中�,遠(yuǎn)程代碼執(zhí)行尋車成功,后視鏡上燈亮并鳴笛
老聞熄火下車后���,向呆若木雞的車云菌解釋�,“你看��,云端下發(fā)的指令可以越權(quán)于車內(nèi)操作�����,假設(shè)我正行駛在高速上���,這兄弟把尋車指令換成其他操作�����,我想不需要我過多解釋了吧��?”
滿腹狐疑的車云菌心想����,這么遜咖的軟件bug應(yīng)該不會(huì)被汽車品牌的手機(jī)app測(cè)試團(tuán)隊(duì)漏掉吧。老聞解釋說�����,車輛運(yùn)行時(shí)����,如果是從手機(jī)app上點(diǎn)擊尋車,App會(huì)提示車輛正在運(yùn)行���,從而不會(huì)發(fā)出指令���。而不幸的是,這道關(guān)卡只設(shè)置在手機(jī)上���,而有些汽車品牌的云服務(wù)端是不做二次檢查的�,360安全團(tuán)隊(duì)直連了該車的云端服務(wù)器(并未通過手機(jī))����,因此指令輕松自在的被車輛接收��。更加不可思議的是,車子的firmware也沒有檢查自己的狀態(tài)就執(zhí)行了尋車指令——最后一關(guān)也形同虛設(shè)……哦���,對(duì)不起���,最后一關(guān)干脆就不存在。
最后�,老聞?wù)埻掠么a開一下后備廂。車云菌表示不必了�����,既然整車都能解鎖��,區(qū)區(qū)后備廂還有什么意義�����。同事自顧自地執(zhí)行了代碼���,后備廂自動(dòng)彈開�,老聞按下后備廂��,但鎖頭已經(jīng)“神奇的”失效,無論怎么按下廂蓋都無法鎖閉�;車云菌只好整車解鎖再上鎖,后備廂才正常鎖閉�,這一幕讓人多少有些無語。最為關(guān)鍵的是����,單獨(dú)解鎖后備廂這個(gè)功能,在手機(jī)App上并沒有開放�����。
“今兒先到這”��,老聞?chuàng)蠐项^�����,“我們上樓聊吧”���。
如何為信息設(shè)防���?
坐定之后,車云菌向老聞咨詢了汽車手機(jī)應(yīng)用與云端交互過程是否明文通信(有否加密)����。老聞直言不諱的告訴車云菌,加密是有的�,一方面是業(yè)界通用的加密算法,另一方面也有一部分品牌自己設(shè)計(jì)的加密手段�����,但問題是���,算法依然太薄弱��,破解不要太輕松�。這還不算什么���,指令是否合法只在手機(jī)app上校驗(yàn)���,云端和車端都是簡(jiǎn)單的轉(zhuǎn)發(fā)和執(zhí)行,這一點(diǎn)則更加危險(xiǎn)�����。
然而離譜的是���,從3G/4G民用網(wǎng)絡(luò)接收并翻譯出的CAN指令幾乎無條件的在車身CAN總線上執(zhí)行����,一無物理隔離,二無權(quán)限管理���,這一點(diǎn)讓360安全團(tuán)隊(duì)的同事們大開眼界���,“花上一點(diǎn)時(shí)間,對(duì)這輛車做什么都可以���,等于完全不設(shè)防”����。
所以��,如果總結(jié)一下�����,汽車被破解存在的問題有三:
1.手機(jī)App的加密較為薄弱��,執(zhí)行操作時(shí)����,缺少如短信驗(yàn)證的驗(yàn)證手段�,破防更加輕松��;
2.權(quán)限的優(yōu)先級(jí)設(shè)定不明確��,繞開手機(jī)App之后����,云端指令可直接下達(dá)�,干擾駕駛員對(duì)車輛的操控過程;
3.云端開啟的權(quán)限過多���,雖然手機(jī)App上進(jìn)行了屏蔽處理���,但同樣只要繞開移動(dòng)端,就相當(dāng)于大開方便之門�。
當(dāng)被問及車輛聯(lián)網(wǎng)如何才能做到更安全時(shí),老聞簡(jiǎn)潔明了地說了兩點(diǎn):
其一�����,從基礎(chǔ)設(shè)計(jì)上下功夫�����。采用物理隔離,或者像Tesla一樣升級(jí)車身總線�����,從車輛底層拋棄無鑒權(quán)�����、無校驗(yàn)的30年高齡之CAN總線�;如此這般,破解難度會(huì)成倍提高�����,甚至不得不物理侵入車輛��。
其二���,傳統(tǒng)的遙控鑰匙破解需要射頻設(shè)備�,且只針對(duì)一臺(tái)車����;而升級(jí)到云服務(wù)�,攻擊工具只需要一臺(tái)電腦���,目標(biāo)可以是同平臺(tái)的所有上路車輛(全國(guó)/全球)����。所謂“術(shù)業(yè)有專攻”��,整車廠造車水準(zhǔn)一流�,但對(duì)IT行業(yè)的安全攻防則毫無積累——要做對(duì)事���,應(yīng)當(dāng)先找對(duì)人�����。
