物联网安全干货丨车联网安全入门part6

汽车安全 3年前 (2022) admin
964 0 0

物联网安全干货丨车联网安全入门part6



IOTsec-Zone

车联网安全典型案例


物联网安全干货丨车联网安全入门part6
物联网安全干货丨车联网安全入门part6

0x01.介绍

物联网安全干货丨车联网安全入门part6

在本篇中,我们将讲解一些典型的安全案例。之前已经讨论了汽车攻击面、CAN 协议、工具等。总的来说,我们对汽车安全以及行业面临的安全问题有所了解。在讨论车辆攻击面时,我们看到了一系列容易受到攻击的领域,这里我们讲解一些汽车被盗的常见场景!

物联网安全干货丨车联网安全入门part6

0x02.著名的吉普黑客

汽车黑客事件的历史可以追溯到2015年,当时研究人员 chris 和 charlie 能够远程控制一辆2015年的zeep 切诺基,并完全控制转向、刹车和信息娱乐中心。

他们成功地演示了可以针对许多菲亚特克莱斯勒汽车执行远程攻击,易受攻击的车辆数量达到数十万辆,这迫使 FCA 召回了140 万辆汽车,并改变了 Sprint 运营商网络。

这种远程攻击可以针对位于美国任何地方的车辆执行,并且不需要攻击者或驾驶员对车辆进行修改或物理交互。由于远程攻击,某些物理系统(例如转向和制动)会受到影响。

在倒车时,他们发现 Harman Kardon 的 Uconnect 8.4AN RA4 作为信息娱乐、WIFI连接、导航、应用程序和蜂窝通信的唯一来源,它可以与内部 CAN 总线通信,还可以接收OTA指令。

当他们在车辆上运行Nmap 扫描时,他们发现了一个开放的端口 6667/TCP,该端口打开并运行 irc。正是 D-Bus 被用于进程间通信,Jeep 不需要任何身份验证。研究人员使用Dfeet 工具查看服务和Dbus-Python 脚本以获取更多信息。Dbus 服务不是为了与车辆环境外部通信,它纯粹是为了相互通信的目的。

然后通过连接到车辆 WIFI 来完成命令行注入。后来他们通过 sprint 网络完成了同样的操作,只需在他们的 python 代码中更改 ip 地址。这次他们做了基本的请求,通过网络转储 VIN 号码和 GPS 坐标,以查看有多少车辆易受攻击。他们估计是 40 万,但实际上是 140 万。

有一条SPI线连接OMAP芯片和V850,实际上执行两步操作:

  • 命令注入

  • 重新编程V850

OMAP 芯片和 V850 芯片未被编程,为使用它们之间的 SPI 线,除非您重新编程 V850 的 SPI 解析器以从 SPI 线收集字节,将它们重新打包为 CAN 数据包,并将其注入 CAN 总线。V850 芯片不需要任何代码验证来重新刷新修改后的二进制文件。您也可以从信息娱乐中心执行此操作。因此,现在需要的只是发送 CAN 数据包。

物联网安全干货丨车联网安全入门part6
物联网安全干货丨车联网安全入门part6

0x03.Skyo-go对奔驰的研究

2019年,来自中国的安全研究团队Skyo-Go,专注于车联网安全。他们构建了一个测试平台,他们的初始攻击是用于梅赛德斯奔驰汽车的增强远程移动和紧急服务 (HERMES) 的主机、 OBD-II 端口和硬件。主机使用不是开源软件的 windows CE Automotive 7 。因此,源代码和调试环境将不会公开。我们都知道 OBD-II 端口需要物理访问,因此将严重性降为低。

由 Harman Kardon 设计的 HERMES 包含一个 4G 模块,可将汽车连接到互联网。它使用嵌入式 Linux并处理与每个 ECU 通信的紧急呼叫、远程/本地诊断。它还为主机提供 2.4GHz 和 5GHz 功能。HERMES的用户手册在网上泄露,并且在一个公开的数据库中,该数据库包含引脚信息。主机需要连接到TCU才能访问 Internet。它有三种与 TCU 连接的方式:

  • USB UTC

  • Bluetooth DUN

  • WIFI

系统中的配置文件决定了实际的连接方式。在 HU 和 TCU 之间建立连接之前,它们需要通过 CAN-A 协

商协议。建立连接后,它们通过 WCC 协议管理网络。

主机连接到 2 个 CAN 总线:

  • CAN-D

  • CAN- HMI

梅赛德斯奔驰也有防盗警告系统,但可以通过在 CAN 总线级别阻止一些数据来绕过它。

逆向 CAN 总线数据包,发现某些 CAN 总线消息保持主机运行,并且需要两个不同的消息来绕过 HU 防盗系统并使其在工作台上运行。

固件是攻击任何嵌入式设备的基本要素之一。因此,OpenOCD 与 FT2232 一起使用来转储固件。您必须禁用看门狗,因为它可能会在读取固件时重置设备。

使用 4G 模块上的 JTAG 接口,他们触发了允许读/写内存的中断指针。为使用该方式,必须对内核进行

逆向工程并找到 NAND 控制器的寄存器。

他们发现获取固件的另一种方法是打开具有 eMCP NAND 闪存并使用 BGA 工作站提取固件。他们还制作了 PCB 适配器/电路,可提取所有 48 引脚以支持 8 位和 16 位 NAND 闪存。

在 qualcomm 模块中,分区以特殊的魔术字节开始,还制作了一个可以解析转储的 python 脚本。事实上,找出分区是非常深入和重要的。

没有安全启动,Skyo-go 团队也能够修改系统服务以打开调试 shell。

物联网安全干货丨车联网安全入门part6
物联网安全干货丨车联网安全入门part6

0x04.

隐形无人机攻击特斯拉模型

– S, 3, X & Y

在 2019 PWN2OWN 中,特斯拉 Model 3是汽车类别的目标,范围内的目标是调制解调器、WIFI/蓝牙、娱乐中心、网关/自动驾驶仪、自动驾驶和遥控钥匙。

这引起了安全研究人员 Ralf-Philipp Weinmann 和 Benedikt Schmotzle 的兴趣,他们开始从市场购买零件,重点是攻击 VCSec 和信息娱乐。

他们成功地在特斯拉汽车中使用的开源软件组件 (ConnMan) 中发现了远程零点击安全漏洞,该漏洞使他们能够破坏停放的汽车并通过 Wi-Fi 控制其信息娱乐系统。

他们利用了自动连接到Tesla Service WI-FI 的 Tesla Model 3 的功能。通过组合利用 ConnManDeamon 的两个组件中的两个漏洞(Connman 是 GENIVI 的汽车级 Linux 上的默认组件),这允许它们在信息娱乐系统上执行远程代码执行、DNS 转发器中的堆栈溢出和堆栈信息泄漏地址。

CVE-2021-27765用于控制 ConnMan,这是一个连接管理守护进程,用于管理在 Linux 操作系统中运行的设备内的互联网连接,其甚至允许关闭防火墙、更改路由表和加载/卸载内核模块。

当特斯拉汽车停放时,它通常会扫描 Wi-Fi 网络并尝试连接到使用 WPA2-PSK 的 SSID 特斯拉服务 ,但在固件中找到了凭据。

研究人员使用wpad将请求转发到本地 ConnMan DNS 和 DHCP 通过堆栈信息泄漏,以确定libc基地址,堆栈地址以及运行的的软件版本。对于反弹连接,他们使用无人机来部署这种攻击。

ConnMan 漏洞存在了将近7 年。在这种情况下,攻击者/对手可以利用现有漏洞入侵汽车/车辆。

物联网安全干货丨车联网安全入门part6
物联网安全干货丨车联网安全入门part6

0x05.结论

有许多与车辆及其后端相关的不同攻击。本篇文章展示了车联网系统中的各种攻击目标,包括硬件、固件、无线电等。希望您了解汽车生态系统面临的威胁及其原因对提高其安全性至关重要。

物联网安全干货丨车联网安全入门part6
物联网安全干货丨车联网安全入门part6

0x06.车联网历史文章


物联网安全干货丨车联网安全入门part6


物联网安全干货丨车联网安全入门part6


物联网安全干货丨车联网安全入门part6


物联网安全干货丨车联网安全入门part6


物联网安全干货丨车联网安全入门part6


物联网安全干货丨车联网安全入门part6


物联网安全干货丨车联网安全入门part6



原文始发于微信公众号(信睿网络):物联网安全干货丨车联网安全入门part6

版权声明:admin 发表于 2022年5月17日 上午11:01。
转载请注明:物联网安全干货丨车联网安全入门part6 | CTF导航

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...