车联网安全便携靶场制作

汽车安全 7个月前 admin
107 0 0

本文将介绍如何从头开始,将整辆车主要电子部件放入一个可携带的箱子中,以VAGBox为例,有台架、靶场制作等需求可以从中学习

引言

如今,汽车越来越智能化。它们配备了大量传感器,用于收集各种信息,连接到电子控制单元(ECU),以处理输入信号并最终作用于执行器。汽车有多种特定的通信协议,如CAN、FlexRay和汽车以太网。VAGBox注重连接性和轻便性,包含了组成基本汽车的最重要ECU,如网关和车身控制模块,还集成了与外部连接性相关的ECU,包括蓝牙、Wi-Fi和2G/3G/4G,如车载信息娱乐系统(IVI)和紧急呼叫系统或远程信息处理控制单元(TBOX)。现在介绍完毕,让我们看看如何做吧!


购买
选择及原因

VAGBox基于2016年的大众帕萨特B8。2016年的大众帕萨特B8基于共享模块化设计结构的MQB平台。奥迪A3 MK3、大众高尔夫MK7、斯柯达明锐Mk3或西雅特莱昂Mk3等汽车,不仅共享相同的平台,还使用相同的ECU,这使得它们非常普遍。


第一步是列出要包含在箱中的ECU和组件。它决定了箱子的大小。我们的目标是使用最小且最实用的箱子。我希望它是即插即用的,除了打开电源之外不需要任何设置。

首先要包含的ECU是仪表盘(ICM),因为它的作用和向用户提供的丰富视觉信息。

第二个ECU当然是车身控制模块(BCM),负责各种功能,如锁定/解锁车门、控制内外灯光、唤醒其他ECU等。

第三个ECU是信息娱乐单元,原因有两个:

  • 它是用户交互程度最高的ECU,存储用户数据,与智能手机配对,并通过CAN总线或汽车以太网连接到其他ECU。

  • 它是潜在的攻击者入口,IVI拥有蓝牙、USB接口,有时还有Wi-Fi。它通常使用传统操作系统,如Android或QNX,这使它们成为研究的有趣目标。

第四个ECU是eCALL,它通常为车辆提供通过eSIM接收更新等的外部访问。它还能够在检测到事故时发出紧急呼叫并发送数据。

第五个ECU是网关,作为在内部网络之间传输数据的防火墙,并在不同的CAN总线之间提供物理隔离。

最后是KESSY(无钥匙进入启动系统)模块,用于被动钥匙进入功能(PKE)和启动车辆,无需实际使用钥匙。

我认为这些ECU代表了一个完整且轻便的VAGBox所需的最低要求。

ECU的获取

有三种方式获取ECU:

  1. 从制造商那里:

    这种方式最昂贵,需要手动校准ECU,需要我们没有的原厂工具。

  2. 从废品场:

    优点包括直接接触车辆、线束和连接器,以及检查ECU是否正常工作。

    缺点包括找到合适的车辆,而且大多数情况下,你必须自己拆卸所有东西。

  3. 从互联网:

    这种方式提供了广泛的车辆选择。在一些网站上,零件按车辆分组,允许你从同一辆车上获得ECU。然而,这些ECU是二手的,而且大多数情况下,它们来自事故受损的车辆。既没有保证能收到正常工作的ECU,也没有匹配的连接器。


配件

这里列出了我购买的物品清单:

  • AC 110/220V 转 DC 12V变压器(在互联网上很容易找到)

  • 3米长电源线

  • DB9端口(用于轻松连接到CAN总线)

  • 10mm厚的胶合板用于箱子的框架

  • 来自2016年大众帕萨特B8的完整线束

  • 编织电缆套和电工胶带(用于定制线束)

  • 弹力绳,用于固定ECU


箱子

然后到了找到适合放置每个ECU和配件的箱子的时候。

它必须满足以下标准:

  • 尽可能小

  • 配备轮子和拉杆

  • 非常坚固(以前的经验表明,运输,特别是乘飞机,非常关键)

  • 盖子必须能保持打开状态


在选择箱子的时候,我已经订购并收到了ECU,所以我通过将组件放在地板上测量尺寸。仪表盘(IC)和车载信息娱乐系统(IVI)屏幕必须放在箱子的盖子上,这是箱子最显眼的地方。此外,我希望尽可能隐藏ECU的连接器。

这里是一张原定的最终布局图:

车联网安全便携靶场制作

在确定了箱子的最小所需尺寸以及列出的标准后,我在互联网上进行了快速搜索,发现了这个:

车联网安全便携靶场制作

箱子的内部尺寸为宽538毫米,长405毫米,高190毫米,并配有防护泡沫。乍看之下,箱子似乎太小,但实际上并非如此。

车联网安全便携靶场制作


构建

主要面板

箱子由坚固的塑料材料制成,但它不能直接支撑组件。因此,我为箱子的每个内侧设计了一个独立的面板。这些面板通过粘合固定,用于固定每个组件。因此,我进行了测量并切割了木质面板。

车联网安全便携靶场制作

箱子底部的表面不够平整,有些2毫米高的凸起妨碍了面板的正确粘贴。为了解决这个问题,我用雕刻机削薄了木质面板上的凸起部分。

车联网安全便携靶场制作

由于箱子的高度有限(参见箱子的标准),并且为了在箱子关闭时最大化面板之间可用的高度空间,我在胶合板面板上对应ECU连接器的位置钻了孔,如下所示:

车联网安全便携靶场制作

如果没有这10毫米左右的额外空间,箱子将无法正确关闭。


ECU支架

现在我已经有了面板,并且知道在哪里放置ECU,是时候考虑如何固定它们了。虽然我本可以将它们放在平的一面上,但我希望隐藏连接器。一个简单的解决方案是通过切割、堆叠和粘合足够数量的胶合板块来制作支架,以达到所需的深度。然后,我使用木胶将它们粘在木质面板上。

车联网安全便携靶场制作

对于上部面板,我用螺钉固定了仪表盘和车载信息娱乐系统(IVI)屏幕,确保螺钉的长度与支架和面板的总深度大致匹配,以确保牢固和坚固的固定。eCALL直接固定在面板上,而对于钥匙遥控器,我也制作了一个支架,仍然使用胶合板并粘在面板上。最后,我用弹力绳将其固定住。

车联网安全便携靶场制作

我还在下部面板上为每个ECU制作了支架,并使用与钥匙遥控器相同的方法进行固定。电源直接拧在面板上,IVI将通过直接固定在胶合板面板上的铝板进行固定。

最后,整个面板都涂成黑色以获得更好的表面效果。

控制面板
控制面板位于IVI和BCM之间,由以下组成

  • 5个DB9母头连接器,分别连接到CAN总线上,提供对不同网络的轻松访问,绕过网关限制。

  • 1个OBD2端口,连接到电源和诊断can,以提供对ECU的常规诊断访问。

  • 1个启动/停止按钮,直接连接到KESSY模块,启动防盗检查程序。

  • 1个USB端口,连接到收音机。

在构造过程中,我在上部面板上放置了所需的不同组件,并描绘出它们的轮廓。然后,我钻孔并使用雕刻机。最后,我粘贴了这些组件。

车联网安全便携靶场制作

最后,我留出了一些空闲空间,以备将来想要添加其他组件(例如断路开关)。

线束

我可能在这个项目的大部分时间都花在了从原始线束中制作这个精简版线束上。首先,这是原始线束的大小:

车联网安全便携靶场制作


我本可以从头开始制作线束,仅依靠原始设备制造商(OEM)的文档,但我家里没有线材或连接器(我真的很想获得这些)。此外,我找到了一个价格约为75欧元的线束,而其他的售价在150-200欧元之间。这对我来说是一个不错的交易,但正如我之前提到的,这也意味着要做大量的工作(几个小时)。至少现在,我有足够的电缆可以制作3到4个其他的VAGBox,所以这还不错。

为了使线束在外观上更加简洁和整洁,我决定使用编织电缆套和电工胶带。这里是结果:车联网安全便携靶场制作

这项工作并不太难,但我需要考虑电缆的长度。大多数ECU的连接器少于32针脚,而且并非全部都在使用。然而,对于车身控制模块(BCM)——管理汽车中许多输入/输出的ECU——至少有60个针脚。

这里是一个图片和来自OEM文档的摘录。



车联网安全便携靶场制作

在剪断原始线束上的电线时,我在车身控制模块(BCM)连接器上发现了以下情况:


车联网安全便携靶场制作

显然,这不属于原始线束的一部分。这意味着有人为他的/她的车定制了一个附加模块,连接到了电源、车载信息娱乐系统CAN总线、危险警告灯开关和右后车门接触开关。我仍然想知道到底是什么东西连接到了这里。

车载信息娱乐系统(IVI)屏幕和母头USB连接器使用高速数据电缆(HSD)。这些电缆在汽车通信系统中使用,并经过屏蔽以保护信号免受汽车环境中可能存在的电磁干扰。当然,我需要缩短它们,因为在VAGBox中两个组件之间的距离比在汽车中要小得多。我本以为这会很棘手,但最终,通过使用第三只手工具,这实际上相当容易。

车联网安全便携靶场制作


你可能已经注意到,我提到过两次“制造商数据表”;这绝对是必需的!基本上,它包含了关于ECU的一切信息,包括它们的位置、引脚图、零件号,还提供了网络图。你可以在论坛上找到部分信息,或者购买一个访问令牌,时间从一小时到一年不等,浏览官方制造商的维修网站。它的成本不高,而且绝对是节省时间的措施。

给箱子供电
由于该箱子用于国际培训和展示,因此需要一个从110/220V转换到12V的变压器。

从历史上看,汽车一直使用DC 6V和12V电压。随着时间的推移,12V系统由于在功率传递和组件设计方面的优势而变得更加流行。更高电压的系统需要更粗、更重的线缆来处理相同的功率。此外,12V系统被认为在汽车应用中更安全,因为它降低了意外接触导致严重伤害的风险。此外,铅酸电池非常适合12V系统。

因此,需要一个从交流110/220V到直流12V的变压器。唯一的要求是尽可能小且至少有5A的电流,以正确为每个ECU供电。选

最后,我添加了一根3米长的电源线,以确保有足够的长度连接到电源插座。

最终结果(v1)

现在部件都准备好了,是时候将它们组装起来构建VAGBox了。我做的第一件事是用多功能粘合剂将主要面板粘在箱子上,并等待大约24小时让它干燥。

我按照之前描述的方式固定了每个组件,打开箱子供电,结果如下:

车联网安全便携靶场制作


你可能已经注意到,我在上部面板的右侧留出了一个空白空间。这是因为我想添加一个第二个控制面板,带有按钮,可以控制油量表、速度指针、转速指针、灯光等。这是我稍后会做的事情。

仪表盘演示

如前所述,仪表盘接收并向驾驶员显示来自ECU的大量信息。问题是我没有任何适配MQB平台的VAG汽车,来捕捉发送到仪表盘的帧。我在尝试使用当天早上购买的基本穿刺探针接入CAN总线花了一整天后才意识到这一点。最终,我使用了鳄鱼夹进行切口。(今天,我使用的是Fluke TP81探针,它们非常棒!)

我本可以尝试手动生成这样的流量,但这将花费太多时间。

在互联网上寻找灵感时,我发现了一个名为“r00li”的GitHub项目,名为CarCluster,可以“使用ESP32和MCP2515 CAN总线模块从计算机上控制汽车仪表盘以进行游戏”。此外,它还提供了一个包含按钮和范围滑块的网络界面。


车联网安全便携靶场制作

这个模块可以与软件SimHub接口,SimHub是“一款模块化多模拟仪表盘和触觉反馈软件”。

从这里,想法很简单:熟悉CarCluster和SimHub,然后找到兼容的赛车游戏(《尘埃3》),并在玩游戏时使用Philippe Azalbert制作的Quarkslab CAN适配器捕捉发送的CAN帧。由于视频游戏没有发送关于冷却液温度的信息,我在捕获过程中注入了周期性帧。这是最终的结果:


为了让这一切正常运行并能够重现,必须将车身控制模块(BCM)关闭或断开连接。否则,由于处于空闲状态,它不会让仪表盘(IC)唤醒。为什么?因为BCM是主要的ECU。它是接收钥匙遥控器的射频信号以锁定/解锁汽车的ECU。它是发送CAN帧以唤醒其他ECU的ECU。因此,当发送唤醒帧但不是来自BCM时,它会捕获帧并立即发送“空闲”CAN帧,导致ECU每秒10次唤醒并进入空闲状态。

问题

当然,第一次尝试时一切都没有按预期工作,而且有些东西由于某些原因仍然无法正常运行。以下是主要问题:

旅行测试

VAGBox的主要目标是能够轻松地从世界各地的A点到B点通过火车、飞机或汽车进行运输。这个箱子坚固,里面的组件也必须坚固。我进行的第一个测试是重重地打开和关闭箱盖,结果没有任何移动,这是个好消息。然后我坐在箱子上,模拟行李堆叠在上面的重量,上部面板脱落了……原因是结构由坚固且灵活的塑料制成,而胶合板面板不灵活。当我坐在上面时,塑料发生了形变,但面板没有,于是它脱落了。我通过使用两个螺母和螺栓、垫片以及硅胶密封孔来找到了一个简单的解决方案。现在,它不再移动了。

下方面板不受箱子塑料变形的影响,目前不需要适应。

车联网安全便携靶场制作


到目前为止,我已经多次用汽车移动箱子,所有组件都保持原位。

车载信息娱乐系统(IVI)的组件保护(CP)

组件保护(CP)是IVI系统中实施的一项安全功能。它旨在防止未经授权使用组件,主要作为防盗措施。这种系统由许多汽车制造商开发,其工作方式取决于软件/硬件。

CP可以通过多种方式触发。它可以因未接收到特定的CAN帧而被触发,或者基于存储在每个ECU中的车辆识别号(VIN)。如果替换零件的VIN与其他ECU的VIN不匹配,则会激活CP。

有两种方法可以禁用CP:

  • 使用制造商工具(VAG的ODIS)

  • 反转该机制


在我们的案例中,激活的CP的限制很小。它只是在屏幕层的顶部打印消息“组件盗窃保护活动”并禁用声音输出。其他功能仍然可用。简而言之,CP的活跃状态对我们来说不是问题。

结论
VAGBox还没有完成,但目前已经可以使用。如上所述,它缺乏一个带有关于汽车状态的视觉输出的额外控制面板,以及控制仪表盘指针移动的控制器。

参考资料:https://blog.quarkslab.com/how-i-built-a-car-in-a-box.html

车联网安全便携靶场制作

车联网安全便携靶场制作



原文始发于微信公众号(安全脉脉):车联网安全便携靶场制作

版权声明:admin 发表于 2024年4月16日 下午5:46。
转载请注明:车联网安全便携靶场制作 | CTF导航

相关文章