黑客是怎樣攻擊JEEP自由光的?
今年7月,兩名美國白帽黑客成功侵入一輛正在行駛的JEEP自由光SUV的CAN總線網絡系統,使這輛車開翻到馬路邊的斜坡下。隨后,他們在8月全球最大的黑客大會上,發布了攻擊細節。
導語:今年7月,兩名美國白帽黑客成功侵入一輛正在行駛的JEEP自由光SUV的CAN總線網絡系統,向發動機、變速箱、制動、轉向等系統發送錯誤指令,最終使這輛車開翻到馬路邊的斜坡下。隨后,他們在8月全球最大的黑客大會上,發布了攻擊細節。
文 /張翔
選擇攻擊對象
黑客選擇下手目標的原則,通常是撿最軟的柿子捏。
自由光被攻擊其實是在一年前就有了征兆,在2014年8月舉行的“黑帽安全技術大會”上,2014款自由光被評為網絡安全性能最差的新車。
在研究自由光的汽車網絡構架時,黑客發現其車聯網系統Uconnect同時連接到汽車的兩根總線CAN-C和CAN IHS上。其中CAN-C主總線連接到很多汽車核心系統,例如發動機控制、變速箱換擋控制、ABS制動、電子手剎、轉向、自適應巡航ACC、改變收音機頻率等系統。
CAN IHS內部高速總線則連接了車門驅動、座椅加熱、空調制熱、盲點警告系統BSW、調節收音機功放等系統。由于Uconnect具備無線通訊接口,這就意味著只要侵入Uconnect,就可以實現遠程控制汽車。
在汽車黑客攻擊的歷史上,之前所有的案例都是物理侵入,因此一旦遠程控制成功,這將是一個汽車網絡安全的重要里程碑事件。
上圖:自由光的汽車網絡構架
尋找攻擊入口
黑客在尋找攻擊入口時,發現自由光的Wi-fi密碼設置的安全性很弱,是按照固定的時間加上車機啟動的秒數計算生成的。黑客經過幾十次的嘗試后,密碼就被攻破了。
這樣一來,黑客通過這個近場入口對自由光進行深度分析,獲得了很多資料和數據。
自由光是通過手機運營商Sprint實現無線通訊的,遠程控制汽車的關鍵是破譯Sprint的通訊協議。Sprint網絡允許不同的設備(包括汽車)通過通信塔天線自由通信,這就為黑客提供了遠程攻擊的傳播通道。
黑客進一步通過端口掃描,發現了一個開放端口6667 D-Bus,通過6667端口,匿名登入者可以實現調節收音機音量大小和讀取GPS坐標等的操作。
Uconnect的原來設置是只能讀取CAN總線的數據,不能寫入數據。黑客研究CAN控制器V850 MCU的構架后,植入了越獄代碼,開放了Uconnect向CAN總線的發送指令的權限,從而打通了控制汽車的大門。
上圖:瑞薩V850 FJ3芯片
怎樣向汽車發送偽指令
黑客通過逆向工程的方法破譯了自由光CAN總線的通訊協議,其意義就像是在戰爭片中我軍破譯了國民黨軍隊的電報密碼。
他們不僅知道汽車電腦系統正在運行的任務,還可以模仿汽車電腦系統,發送偽指令,導致汽車運行錯誤的任務,最終導致汽車發生交通事故。
自由光的動態位置即GPS坐標可以被遠程獲取,黑客可以在電腦屏幕上跟蹤任何一輛入侵的車輛。另外,黑客還可以控制空調風扇的轉速、收音機音量、低音Bass和電臺頻率、汽車屏幕顯示內容、使中控臺開關失效等,導致駕駛員緊張,危害車內乘員的人身安全。
上圖:黑客軟件可分析自由光的電子控制單元ECU的網絡分布圖
借助無線網絡,黑客攻擊范圍覆蓋全美
在破譯Sprint手機網絡通信協議后,黑客可以通過21.0.0.0/8 和25.0.0.0/8兩個IP地址在6667端口尋找脆弱的汽車。
通過多次網絡掃描試驗,黑客估計2013款、2014款較脆弱的車輛約為29.2萬~47.1萬輛。而克萊斯勒公布的數據顯示,已經銷售的2014款車型數量有101.7萬輛。所以,實際上脆弱的車輛數量比估計的要多得多。
二者數據間差異的原因,或許是并非所有車輛同時上網在線,黑客的軟件只能掃描到一小部分車輛。最終克萊斯勒宣布在美國召回車輛的數量是140萬輛。從這一結果看,黑客入侵車聯網的影響范圍是非常巨大的。
上圖:黑客軟件掃描出的脆弱車型清單
AutoLab關注汽車科技領域的新公司、新技術、新模式、新投資。
如果你有強烈的求知欲望,強烈建議你通過“百度百家”關注AutoLab。如果你還想參加我們的粉絲聚會、線下沙龍、全球電商大會等活動,直接微信搜索“autolab”,妥妥噠!