目标:2014款吉普切诺

优质
小牛编辑
129浏览
2023-12-01

目标:2014款吉普切诺

我们选择2014款吉普切诺是因为这款车给我们提供了最佳的机会来证明,一旦远程入侵成功,攻击者就可以通过发送信息,侵入驾驶员的隐私,代替攻击者执行一些物理操作。正如我们在先前研究中就指出的,对于攻击者来说,这款车的攻击障碍更少。但是,这并不代表其他制造商生产的汽车就是无法入侵的或是更安全的,只是说,我们认为这款车是适合我们的研究对象。更重要是,在我们的预算限制中,只有这款车能提供我们想要的技术功能。

{%}

网络架构

这台2014款吉普切诺的架构非常吸引我们,因为这款车的头单元(无线电广播)连接到了车辆上实现的两条CAN总线。

{%}

图-2014年款吉普切诺的结构图

我们猜测,如果能入侵汽车上的无线电模块,我们就能访问CAN-IHS和CAN-C网络上的ECU,也就是说,我们可以把信息发送到所有的ECU上,而这些ECU控制着车辆的各种物理特性。在后面你会看到,我们在入侵了头单元后,并没能直接访问到CAN总线,所以,还需要接下来的漏洞利用阶段(Exploitation Stage)。有这样的说法,CAN总线中不存在架构限制,比如,控制转向的是独立的总线。如果我们可以从头单元中发送信息,那么信息就能传递到CAN总线上的每一个ECU。

CAN C总线

1. ABS 模块 - 防抱死制动系统

2. AHLM 模块 - 大灯高度调整

3. ACC 模块 - 自适应巡航控制

4. BCM 模块 - 车体控制

5. CCB 连接器 - 星型 CAN C 主体

6. CCIP 连接器 - 星型 CAN C IP

7. DLC 自我诊断接头

8. DTCM 模块 - 动力控制

9. EPB 模块 - 电子驻车制动器

10. EPS 模块 - 电子助力转向系统

11. ESM 模块 - 电子变速

12. FFCM 摄像头 - 前置摄像头

13. IPC 集群

14. OCM 模块 - 乘客分类模块

15. ORC 模块 - 乘客约束控制器

16. PAM 模块 - 泊车辅助

17. PCM 模块 - 动力系统控制 (2.4L)

18. 无线电模块 - 无线电广播

19. RFH 模块 - 射频中心

20. SCM 模块 - 转向控制

21. SCLM 模块 - 转向柱锁

22. TCM 模块 - 传动控制

CAN IHS总线

1. AMP 放大器 - 无线电广播

2. BCM 模块 - 车体控制

3. CCB 连接器 - 星型 CAN IHS 主体

4. CCIP 连接器 - 星型 CAN IHS IP

5. DDM 模块 - 司机门锁

6. DLC 自我诊断接头

7. EDM 模块 -外部 DISC

8. HSM 模块 - 加热座椅

9. HVAC 模块 - A/C 加热器

10. ICS 模块 - 集成中心栈开关

11. IPC 模块 - 集群

12. LBSS 传感器 - 盲点左后方

13. MSM 模块 - 记忆座椅驱动

14. PDM 模块 - 乘客门

15. PLGM 模块 - 电动尾门

16. 无线电模块 - 无线电广播(非桥接)

17. RBSS 传感器 - 盲点右后方

网络物理特性

在这一部分中,我们介绍了2014款吉普切诺使用的驾驶协助系统。我们对这些技术非常感兴趣,因为在此前的攻击中,我们就是利用了类似的系统才获取了对车辆的物理控制。虽然,我们也相信这些技术进步保证了驾驶员和乘客的安全,但是,不可否认的是,攻击者也会利用这些系统作为控制车辆的途径。

自适应巡航控制(ACC)

2014年款的吉普切诺配备了自适应巡航控制系统(ACC),这项技术能够协助驾驶员与前车保持合适的距离。实际上,如果启用了巡航控制,当前车减速时,车辆就会适当的刹车以避免与前车发生碰撞,当道路上的障碍移除或进入安全距离后,车辆就会恢复到正常的巡航控制速度。如果前车停止前行,ACC模块也可以控制驾驶车辆停止前行。

前向碰撞警告系统+(FCW+)

与ACC类似,前向碰撞警告系统+(FCW+)会防止车辆与前方物体发生碰撞。但是,不同于ACC,除非特意关闭,FCW+是一直开启的,在遇到突发情况时,系统会协助驾驶员刹车。例如,如果驾驶员正在看手机,而没有注意前方的道路,并且前方车辆突然刹车了,FCW+就会发出声音警报,并代替驾驶员刹车。

{%}

图-FCW+

车道偏离警告系统(LDW+)

车道偏离警告系统(LDW+)这项功能是为了保证驾驶员在高速公路上的驾驶安全。LDW+在启用时会检查行车线路(道路上的油漆线),判断车辆是否乱线,从而避免碰撞或更严重的事故。如果系统检测到车辆正在偏离当前的线路,系统就会调整方向盘以保持在当前线路上形式。

{%}

图-LDW+

泊车辅助系统(PAM)

近期,最新的泊车辅助功能(PAM)也加入到了普通车辆上。泊车辅助系统(PAM)能帮助驾驶员完成停车操作,在多数情况下不需要驾驶员出力,比如平行停车,倒车停车等。我们认为以此为切入点,是控制车辆方向盘的最简单方法,并且我们已经证明了利用这项技术,只需要通过CAN信息就能控制车辆在高速行驶中的转向。在后面你会发现,PAM技术和模块在我们的研究中发挥了关键作用。

{%}

图-使用中的PAM系统显示

远程攻击途径

在下表中,我们列出了攻击者可能选择的一些切入点。很多人在看到这些项目时想到的都是各种技术术语,但是对于攻击者来说,每项与外界交互的技术都是一个潜在的攻击切入点。

Entry Point

ECU

Bus

RKE

RFHM

CAN C

TPMS

RFHM

CAN C

Bluetooth

Radio

CAN C, CAN IHS

FM/AM/XM

Radio

CAN C, CAN IHS

Cellular

Radio

CAN C, CAN IHS

Internet / Apps

Radio

CAN C, CAN IHS

被动防盗系统(PATS)

现在,在很多汽车的点火钥匙中都植入了一个小芯片,与车辆上的传感器通讯。对于吉普切诺这款车来说,其传感器直接通过线路连接到了射频中心模块上(RFHM)。当按下点火开关时,板载计算机就会发出一个射频(RF)信号,钥匙中的射频器就可以接受这个信号。然后钥匙中的射频器会返回一个唯一的射频信号到车上的计算机,计算机在确定信号后,就会启动并运行汽车,整个过程不超过1秒。如果板载计算机没有接收到正确的识别代码,某些组件,比如油泵,启动器就不会运行。

从远程攻击的角度看,这个攻击平面太窄了。唯一的数据传输(并且是由IC上的软件处理)就是识别码和射频信号。很难想象这个识别代码中会存在可利用的漏洞,即使是有,你也必须要接近传感器,因为传感器在设计上就只能接收附近的信号。

{%}

图-显示没有检测到钥匙

胎压监测系统(TPMS)

在汽车上,每个轮胎都有一个胎压传感器,会时刻测量胎压并把实时数据传输给ECU。在吉普切诺上,接收传感器通过线路连接到了RFHM上。这里使用的无线电信号是专利性的,但是,已经有人对TPMS系统进行了研究并调查了这个系统的安全性。

几乎可以确定的是,通过采取一些操作是可以攻击TPMS系统的,比如让车辆误以为轮胎或TPMS系统出现了问题。另外,研究人员还证明了在有些情况下,是可以造成相关的ECU崩溃或变砖。考虑到代码执行的可能性,这个攻击平面也很窄。但是,既然ECU能远程变砖,这还是说明其数据处理方式不够安全,所以这类攻击还是可行的。

{%}

图-2014年款吉普切诺的TPMS系统显示界面

遥控门锁(RKE)

电子钥匙,也就是遥控门锁中有一个短距离的无线电传输装置,可以与车辆上的ECU通讯。这个无线电传输器会发送包含有身份信息的数据,然后ECU会判断这个秘钥是不是有效的,从而决定随后的上锁、解锁和启动引擎等指令。在吉普基诺这款车中,负责接收这个信息的还是RFHM。

鉴于远程代码执行,这种攻击平面很窄。因为,RHFM中一定有专门的固件来负责处理射频信号,加密/解密代码和识别电子钥匙数据的逻辑以及编程备用电子钥匙的逻辑。虽然这是一种可能的攻击途径,但是要想在RKE中找到漏洞来实现远程代码执行似乎是不可能的。

{%}

图-2014年款吉普切诺的电子钥匙

蓝牙

大多数汽车都能够通过蓝牙来同步设备。也就是说ECU有处理复杂远程信号的能力。在吉普切诺上,蓝牙是通过无线电广播(头单元)接收和处理的。这样汽车就可以访问手机上的通讯录,通过手机打电话,听音乐,发信息以及其他功能。

不同于现有的其他信号,蓝牙栈很庞大,同时也存在着大量的攻击漏洞,所以攻击平面很大。一般来说,涉及到蓝牙栈的攻击方案有两种。第一种是利用未配对的设备。这种攻击的危险程度是最高的,因为攻击者可以获取到设备的代码。第二种利用方法是在配对完成后,因为涉及到了用户交互,所以威胁性没有那么大。曾经就有研究人员演示了如何利用蓝牙接口来入侵一辆汽车。Codenomicon的研究人员还发现,汽车中常用的蓝牙接收器有很多崩溃的情况。

{%}

图-2014年款吉普切诺的蓝牙面板

无线电数据系统

无线电广播不仅仅可以接收声音信号,也可以接收数据。在吉普切诺上,无线电广播可以接收多种远程输入,比如GPS,AM/FM广播和卫星电台。在多数情况下,这些信号都会简单的转换成音频输出,数据解析的数量也不大,这就说明其中不太可能有可以利用的漏洞。但是,例外就是无线电数据系统中用于发送数据和FM模拟信号(或卫星电台)的数据。用户可以感知到包括当电台播报的电台名称和正在播放的歌曲名称,在这时,数据必须要经过解析和显示,这样就为安全漏洞创造了空间。

{%}

图-2014年款吉普切诺的无线电广播数据面板

Wi-Fi

有些汽车还提供了蜂窝数据上网功能,实际上,这些汽车是通过Wi-Fi热点的方式来为乘客提供网络连接。在吉普切诺上,这是一个根据使用情况购买的功能,比如按天或按月购买。我们观察到即使是不了解汽车系统的人也可以访问这个Wi-Fi系统。虽然Wi-Fi安全评估方法已经存在了好多年,但是近年来,数据点入侵攻击还是经常发生。

{%}

图-2014年款吉普切诺的Wi-Fi面板

车载通讯系统/互联网/Apps

如今的许多汽车都配备了蜂窝广播功能,一般是叫做车载通讯系统,用于将车辆连接到数据网络,例如,通用汽车使用的昂斯达系统。蜂窝技术也可以用于接收数据,比如交通或天气信息。

这一功能就像是汽车攻击业的圣杯,因为,只要目标汽车上有蜂窝通讯,那么可以攻击的范围实在是太广了。即使车载通讯单元不直接驻存到CAN总线上,这个通讯单元仍然可以通过麦克风向其他位置远程传输数据/声音。有的研究人员此前就远程利用过汽车上的通讯单元,并且还没有涉及用户交互。在吉普切诺上,所有的这些功能都是由无线电控制的,而这个无线电广播又驻存在了CAN-IHS总线和CAN-C总线这两者之上。

在2014年的吉普切诺上,其通讯系统、网络、无线电广播和Apps都在出厂时绑定到了哈曼Uconnect 系统上。接下来我们会详细地介绍这个Uconnect系统,但是我们想要指出,所有与“信息娱乐”系统相关的功能都是物理集成在一个单元上。

{%}