目标：2014款吉普切诺

优质

小牛编辑

116浏览

2023-12-01

目标：2014款吉普切诺

我们选择2014款吉普切诺是因为这款车给我们提供了最佳的机会来证明，一旦远程入侵成功，攻击者就可以通过发送信息，侵入驾驶员的隐私，代替攻击者执行一些物理操作。正如我们在先前研究中就指出的，对于攻击者来说，这款车的攻击障碍更少。但是，这并不代表其他制造商生产的汽车就是无法入侵的或是更安全的，只是说，我们认为这款车是适合我们的研究对象。更重要是，在我们的预算限制中，只有这款车能提供我们想要的技术功能。

{%}

网络架构

这台2014款吉普切诺的架构非常吸引我们，因为这款车的头单元（无线电广播）连接到了车辆上实现的两条CAN总线。

{%}

图-2014年款吉普切诺的结构图

我们猜测，如果能入侵汽车上的无线电模块，我们就能访问CAN-IHS和CAN-C网络上的ECU，也就是说，我们可以把信息发送到所有的ECU上，而这些ECU控制着车辆的各种物理特性。在后面你会看到，我们在入侵了头单元后，并没能直接访问到CAN总线，所以，还需要接下来的漏洞利用阶段（Exploitation Stage）。有这样的说法，CAN总线中不存在架构限制，比如，控制转向的是独立的总线。如果我们可以从头单元中发送信息，那么信息就能传递到CAN总线上的每一个ECU。

CAN C总线

1. ABS 模块 - 防抱死制动系统

2. AHLM 模块 - 大灯高度调整

3. ACC 模块 - 自适应巡航控制

4. BCM 模块 - 车体控制

5. CCB 连接器 - 星型 CAN C 主体

6. CCIP 连接器 - 星型 CAN C IP

7. DLC 自我诊断接头

8. DTCM 模块 - 动力控制

9. EPB 模块 - 电子驻车制动器

10. EPS 模块 - 电子助力转向系统

11. ESM 模块 - 电子变速

12. FFCM 摄像头 - 前置摄像头

13. IPC 集群

14. OCM 模块 - 乘客分类模块

15. ORC 模块 - 乘客约束控制器

16. PAM 模块 - 泊车辅助

17. PCM 模块 - 动力系统控制 (2.4L)

18. 无线电模块 - 无线电广播

19. RFH 模块 - 射频中心

20. SCM 模块 - 转向控制

21. SCLM 模块 - 转向柱锁

22. TCM 模块 - 传动控制

CAN IHS总线

1. AMP 放大器 - 无线电广播

2. BCM 模块 - 车体控制

3. CCB 连接器 - 星型 CAN IHS 主体

4. CCIP 连接器 - 星型 CAN IHS IP

5. DDM 模块 - 司机门锁

6. DLC 自我诊断接头

7. EDM 模块 -外部 DISC

8. HSM 模块 - 加热座椅

9. HVAC 模块 - A/C 加热器

10. ICS 模块 - 集成中心栈开关

11. IPC 模块 - 集群

12. LBSS 传感器 - 盲点左后方

13. MSM 模块 - 记忆座椅驱动

14. PDM 模块 - 乘客门

15. PLGM 模块 - 电动尾门

16. 无线电模块 - 无线电广播（非桥接）

17. RBSS 传感器 - 盲点右后方

网络物理特性

在这一部分中，我们介绍了2014款吉普切诺使用的驾驶协助系统。我们对这些技术非常感兴趣，因为在此前的攻击中，我们就是利用了类似的系统才获取了对车辆的物理控制。虽然，我们也相信这些技术进步保证了驾驶员和乘客的安全，但是，不可否认的是，攻击者也会利用这些系统作为控制车辆的途径。

自适应巡航控制（ACC）

2014年款的吉普切诺配备了自适应巡航控制系统（ACC），这项技术能够协助驾驶员与前车保持合适的距离。实际上，如果启用了巡航控制，当前车减速时，车辆就会适当的刹车以避免与前车发生碰撞，当道路上的障碍移除或进入安全距离后，车辆就会恢复到正常的巡航控制速度。如果前车停止前行，ACC模块也可以控制驾驶车辆停止前行。

前向碰撞警告系统+（FCW+）

与ACC类似，前向碰撞警告系统+（FCW+）会防止车辆与前方物体发生碰撞。但是，不同于ACC，除非特意关闭，FCW+是一直开启的，在遇到突发情况时，系统会协助驾驶员刹车。例如，如果驾驶员正在看手机，而没有注意前方的道路，并且前方车辆突然刹车了，FCW+就会发出声音警报，并代替驾驶员刹车。

{%}

图-FCW+

车道偏离警告系统（LDW+）

车道偏离警告系统（LDW+）这项功能是为了保证驾驶员在高速公路上的驾驶安全。LDW+在启用时会检查行车线路（道路上的油漆线），判断车辆是否乱线，从而避免碰撞或更严重的事故。如果系统检测到车辆正在偏离当前的线路，系统就会调整方向盘以保持在当前线路上形式。

{%}

图-LDW+

泊车辅助系统（PAM）

近期，最新的泊车辅助功能（PAM）也加入到了普通车辆上。泊车辅助系统（PAM）能帮助驾驶员完成停车操作，在多数情况下不需要驾驶员出力，比如平行停车，倒车停车等。我们认为以此为切入点，是控制车辆方向盘的最简单方法，并且我们已经证明了利用这项技术，只需要通过CAN信息就能控制车辆在高速行驶中的转向。在后面你会发现，PAM技术和模块在我们的研究中发挥了关键作用。

{%}

图-使用中的PAM系统显示

远程攻击途径

在下表中，我们列出了攻击者可能选择的一些切入点。很多人在看到这些项目时想到的都是各种技术术语，但是对于攻击者来说，每项与外界交互的技术都是一个潜在的攻击切入点。

Entry Point	ECU	Bus
RKE	RFHM	CAN C
TPMS	RFHM	CAN C
Bluetooth	Radio	CAN C, CAN IHS
FM/AM/XM	Radio	CAN C, CAN IHS
Cellular	Radio	CAN C, CAN IHS
Internet / Apps	Radio	CAN C, CAN IHS

被动防盗系统（PATS）

现在，在很多汽车的点火钥匙中都植入了一个小芯片，与车辆上的传感器通讯。对于吉普切诺这款车来说，其传感器直接通过线路连接到了射频中心模块上（RFHM）。当按下点火开关时，板载计算机就会发出一个射频（RF）信号，钥匙中的射频器就可以接受这个信号。然后钥匙中的射频器会返回一个唯一的射频信号到车上的计算机，计算机在确定信号后，就会启动并运行汽车，整个过程不超过1秒。如果板载计算机没有接收到正确的识别代码，某些组件，比如油泵，启动器就不会运行。

从远程攻击的角度看，这个攻击平面太窄了。唯一的数据传输（并且是由IC上的软件处理）就是识别码和射频信号。很难想象这个识别代码中会存在可利用的漏洞，即使是有，你也必须要接近传感器，因为传感器在设计上就只能接收附近的信号。

{%}

图-显示没有检测到钥匙

胎压监测系统（TPMS）

在汽车上，每个轮胎都有一个胎压传感器，会时刻测量胎压并把实时数据传输给ECU。在吉普切诺上，接收传感器通过线路连接到了RFHM上。这里使用的无线电信号是专利性的，但是，已经有人对TPMS系统进行了研究并调查了这个系统的安全性。

几乎可以确定的是，通过采取一些操作是可以攻击TPMS系统的，比如让车辆误以为轮胎或TPMS系统出现了问题。另外，研究人员还证明了在有些情况下，是可以造成相关的ECU崩溃或变砖。考虑到代码执行的可能性，这个攻击平面也很窄。但是，既然ECU能远程变砖，这还是说明其数据处理方式不够安全，所以这类攻击还是可行的。

{%}

图-2014年款吉普切诺的TPMS系统显示界面

遥控门锁（RKE）

电子钥匙，也就是遥控门锁中有一个短距离的无线电传输装置，可以与车辆上的ECU通讯。这个无线电传输器会发送包含有身份信息的数据，然后ECU会判断这个秘钥是不是有效的，从而决定随后的上锁、解锁和启动引擎等指令。在吉普基诺这款车中，负责接收这个信息的还是RFHM。

鉴于远程代码执行，这种攻击平面很窄。因为，RHFM中一定有专门的固件来负责处理射频信号，加密/解密代码和识别电子钥匙数据的逻辑以及编程备用电子钥匙的逻辑。虽然这是一种可能的攻击途径，但是要想在RKE中找到漏洞来实现远程代码执行似乎是不可能的。

{%}

图-2014年款吉普切诺的电子钥匙

蓝牙

大多数汽车都能够通过蓝牙来同步设备。也就是说ECU有处理复杂远程信号的能力。在吉普切诺上，蓝牙是通过无线电广播（头单元）接收和处理的。这样汽车就可以访问手机上的通讯录，通过手机打电话，听音乐，发信息以及其他功能。

不同于现有的其他信号，蓝牙栈很庞大，同时也存在着大量的攻击漏洞，所以攻击平面很大。一般来说，涉及到蓝牙栈的攻击方案有两种。第一种是利用未配对的设备。这种攻击的危险程度是最高的，因为攻击者可以获取到设备的代码。第二种利用方法是在配对完成后，因为涉及到了用户交互，所以威胁性没有那么大。曾经就有研究人员演示了如何利用蓝牙接口来入侵一辆汽车。Codenomicon的研究人员还发现，汽车中常用的蓝牙接收器有很多崩溃的情况。

{%}

图-2014年款吉普切诺的蓝牙面板

无线电数据系统

无线电广播不仅仅可以接收声音信号，也可以接收数据。在吉普切诺上，无线电广播可以接收多种远程输入，比如GPS，AM/FM广播和卫星电台。在多数情况下，这些信号都会简单的转换成音频输出，数据解析的数量也不大，这就说明其中不太可能有可以利用的漏洞。但是，例外就是无线电数据系统中用于发送数据和FM模拟信号（或卫星电台）的数据。用户可以感知到包括当电台播报的电台名称和正在播放的歌曲名称，在这时，数据必须要经过解析和显示，这样就为安全漏洞创造了空间。

{%}

图-2014年款吉普切诺的无线电广播数据面板

Wi-Fi

有些汽车还提供了蜂窝数据上网功能，实际上，这些汽车是通过Wi-Fi热点的方式来为乘客提供网络连接。在吉普切诺上，这是一个根据使用情况购买的功能，比如按天或按月购买。我们观察到即使是不了解汽车系统的人也可以访问这个Wi-Fi系统。虽然Wi-Fi安全评估方法已经存在了好多年，但是近年来，数据点入侵攻击还是经常发生。

{%}

图-2014年款吉普切诺的Wi-Fi面板

车载通讯系统/互联网/Apps

如今的许多汽车都配备了蜂窝广播功能，一般是叫做车载通讯系统，用于将车辆连接到数据网络，例如，通用汽车使用的昂斯达系统。蜂窝技术也可以用于接收数据，比如交通或天气信息。

这一功能就像是汽车攻击业的圣杯，因为，只要目标汽车上有蜂窝通讯，那么可以攻击的范围实在是太广了。即使车载通讯单元不直接驻存到CAN总线上，这个通讯单元仍然可以通过麦克风向其他位置远程传输数据/声音。有的研究人员此前就远程利用过汽车上的通讯单元，并且还没有涉及用户交互。在吉普切诺上，所有的这些功能都是由无线电控制的，而这个无线电广播又驻存在了CAN-IHS总线和CAN-C总线这两者之上。

在2014年的吉普切诺上，其通讯系统、网络、无线电广播和Apps都在出厂时绑定到了哈曼Uconnect 系统上。接下来我们会详细地介绍这个Uconnect系统，但是我们想要指出，所有与“信息娱乐”系统相关的功能都是物理集成在一个单元上。

{%}