小米公司正式成立于2010年4月，是一家專注于高端智能手機、互聯(lián)網(wǎng)、汽車智駕網(wǎng)聯(lián)、智能家居生態(tài)鏈建設的創(chuàng)新型科技企業(yè)。以“讓每個人都能享受科技的樂趣”為公司愿景，小米公司應用了互聯(lián)網(wǎng)開發(fā)模式開發(fā)產(chǎn)品的模式，秉承開放、不排他、非獨家的合作策略，和業(yè)界合作伙伴一起推動智能生態(tài)鏈建設。

小米科技車聯(lián)網(wǎng)高級安全專家尹小元以《車聯(lián)網(wǎng)安全漏洞挖掘》為主題，從車機固件提取、隱藏調試分析、常見漏洞挖掘幾個方面展開，以下是演講內(nèi)容整理：

小米科技車聯(lián)網(wǎng)高級安全專家尹小元

今天演講主題是車聯(lián)網(wǎng)安全的漏洞挖掘，這也是我目前在小米工作的一部分。我今天主要講四個部分：1、個人介紹；2、講解車機固件提取方法；3、分析調試模式的方法；4、車機端的漏洞挖掘方法。目前我在小米科技做車聯(lián)網(wǎng)研究，有八年的行業(yè)相關工作經(jīng)驗，主要是做Web、APP和lOT等等工作，有多年的甲方車聯(lián)網(wǎng)安全工作經(jīng)驗，目前對車聯(lián)網(wǎng)安全體系建設和智能網(wǎng)聯(lián)汽車漏洞挖掘有比較深入的研究。

車機固件提取

車機固件提取的第一步是信息收集，首先把設備拆開，收集儲存芯片型號、封裝信息、Datasheet。其中芯片型號比如說SK，SanDisk，Kioxia等等，封裝有OIC，TSOP，BGA等，重要的信息有flash起始位置，大小等信息。接下來是選擇合適的拆焊工具、根據(jù)封裝選擇編程器，比如RT809H，easyJTAG，西爾特7500，西爾特7500成本較高，使用也較少。，這一步驟主要是根據(jù)封裝選擇合適的編程器和編程器底座。接下來還要進行固件解包、固件逆向，這部分可以分析固件邏輯，是否存在可以利用的算法漏洞，最后是安全漏洞的驗證工作。

現(xiàn)在對提取固件的流程和技術要點做一下總結：先將芯片用高溫膠帶固定，為了保證其他芯片不受高溫影響，可能需要把其他芯片用高溫膠帶保護起來。接下來需要做預熱工作，來回轉動熱風槍以便受熱均勻，讓芯片完整地脫離焊盤。具體操作中有很多需要注意的要點，尤其需要多加練習，比如說第一次掌握不好溫度，就很容易損壞芯片，因此這是我們做車機固件提取硬件層面中最需要掌握的一項技術。接下來是軟件層面，需要先找到對應格式的文件系統(tǒng)，通過dd命令將文件系統(tǒng)提取出來并進行驗證，汽車啟動的配置文件、腳本和配置信息和應用代碼都在里面，這些是固件逆向所需要的最重要的文件。

隱藏調試分析

第二部分介紹的是隱藏調試，隱藏調試可用簡單理解為官方“后門”，通常是為了發(fā)現(xiàn)問題或解決問題（售后）而預置的一個用于調試分析的功能模塊，工作人員在進行維護時，通常會點擊特定位置，通過特定窗口輸入密碼進入工程模式。這些密碼會對外保密，一方面防止車主誤操作，另一方面是減少黑客和改裝廠篡改系統(tǒng)的風險。工程模式是檢測汽車故障的有效路徑，我們通過前面的方法把固件提取出來，可以通過固件逆向獲取“暗碼”。

除此以外，我們還可以通過搜索引擎、汽車論壇、汽車群等方式搜索到“暗碼”。這里就是一個實際案例，我們直接通過搜索引擎拿到相應的論壇拿到調試碼，第二個通過汽車群拿到更新包，通過逆向拿到調試碼，最后一個就是通過咸魚買相應的車機去提固件獲取調試碼。

常見漏洞挖掘

最后一部分就是常見漏洞挖掘。以特斯拉的車機漏洞挖掘為例：漏洞挖掘人員首先去拆解硬件，進一步分析芯片和調試口，然后進行探測，最后從以太網(wǎng)端口固件進入并分析其系統(tǒng)。通過車機逆向，漏洞挖掘人員發(fā)現(xiàn)可以在固件代碼中植入遠程指令（刷固件），并通過這些指令達到控制車機的目的。比較有影響的就是國外黑客查理·米勒通過遠程利用的方法，直接讓運行的汽車停下來，導致汽車事故的案例。

圖片來源：小米官網(wǎng)

這是我們實際進行的一個車機漏洞挖掘，首先是芯片默認口令問題，我們通過硬件拆解，我們分析汽車裝載的AG35芯片，通過把AG35芯片的外殼去掉，找到USB口并分析走向，接上飛線或者HSD接口，輸入默認的密碼，從而直接進入到AG35系統(tǒng)里面去。另外就是CPU，大部分CPU會有調試接口，我們通過工具可以直接進入系統(tǒng)，再做進一步分析。有時候這些調試口并不能進去到系統(tǒng)，我們可以通過故障注入的方法獲取一個shell。

目前車機較多使用車載以太網(wǎng)進行通信，我們可以分析車機里面是不是有車載以太網(wǎng)的芯片，通過芯片分析接口的走向，通常是車載以太網(wǎng)雙鉸線，通過使用車載以太網(wǎng)轉RJ45設備，可以進入到車內(nèi)網(wǎng)，剩下就是內(nèi)網(wǎng)滲透和信息收集的工作，這個跟做web滲透和車端的滲透原理其實是一樣的。

以下是我們目前發(fā)現(xiàn)比較常見的漏洞。第一種是端口服務，我們在使用調試暗碼進入車機系統(tǒng)之后，通過一些命令看目前系統(tǒng)運行的服務，如果發(fā)現(xiàn)adbd服務沒有運行起來，那么我們可以通過打包系統(tǒng)鏡像加入adbd服務或者修改系統(tǒng)啟動參數(shù)來啟動adbd方法以啟動adb服務。同理，車機系統(tǒng)內(nèi)的一些更新腳本、OTA進程、ftp服務等都是我們重點關注的對象。

第二種是二進制應用，這種主要依靠命令注入和棧溢出漏洞來進行利用。第三種是MQTT漏洞，目前車端MQTT用得非常多，主要用于將新聞等信息、天氣交通等信息推送到車端，或者是把車輛的狀態(tài)信息，比如位置、車輛狀態(tài)信息推到云端，比如我們遠程開車內(nèi)空調，是可以通過MQTT去控制的。我們在實踐測試中發(fā)現(xiàn)，某個車型有大量用戶信息，包括手機號、車牌號、地點位置、軌跡、用戶token等重要信息，都是通過MQTT泄露的，利用這些信息我們可以做很多有意思的事情，這里就不多說了。

第四種是OTA，現(xiàn)在很多開發(fā)人員會直接谷歌搜索代碼庫，甚至將官方的公開代碼直接復制到自己的實際應用代碼當中去。比如將示例AES算法的公私鑰直接復制，用到自己代碼中，甚至將一些AES算法的私鑰和key、iv進行復制。在實際分析中，我們把一些車機的公鑰或者Key直接復制到網(wǎng)站上去搜索，發(fā)現(xiàn)通過搜索公鑰，可以直接拿到私鑰信息，是一個很大的問題。在這里提醒下開發(fā)人員，在寫代碼的時候一定要有安全規(guī)范，如果參考了別人的代碼，不要直接拿過來不做任何的更改，否則將會出現(xiàn)很大的問題。

圖片來源：小米科技 尹小元

這是我們在實際測試中結合車機和APP漏洞利用鏈的案例：逆向APP主要是逆向登錄和加密算法，一般APP都是加殼的，需要我們脫殼后進行逆向。這里的APP主要是控車的APP，我們首先是通過逆向源碼，構造一些控車的代碼，實際測試時候并沒有成功，因為沒有有效的控車的賬號。

隨后我們通過前面的MQTT發(fā)現(xiàn)了一些可用的手機號，通過手機號再去利用，挖掘應用級的漏洞，再去看控車指令如何構造，最后發(fā)現(xiàn)是通過云端的APP去遠程控車的。于是我們進一步逆向其中所使用的供應商協(xié)議的邏輯漏洞，通過篡改部分代碼，最終實現(xiàn)了通過云端APP控車。

以上這一條利用鏈是比較完美的，首先，APP端存在漏洞，雖然也做了一些加密，做了源碼級別的加殼，但最后我們還是通過脫殼和應用層、網(wǎng)絡層的抓包分析，實現(xiàn)了控車。此外，車機端的調試端也沒有做一些嚴格保護，通過前面的方法對固件進行提取并逆向分析，最后發(fā)現(xiàn)它的控車是用某一個供應商的協(xié)議去控制的，從而找到了供應商的漏洞，補充一點，這個案例并沒有使用D-bus系統(tǒng)進行遠程控車。

（以上內(nèi)容來自小米科技車聯(lián)網(wǎng)高級安全專家尹小元于2022年8月26日由蓋世汽車主辦的2022中國汽車信息安全與功能安全大會發(fā)表的《車聯(lián)網(wǎng)安全漏洞挖掘》主題演講。）

返回第一電動網(wǎng)首頁 >