2023 SDC 议题回顾 | 车联网——站在研发视角挖漏洞 - 新鲜讯息

随着汽车安全国标的出台，整车安全的总体方向确立，RCE的难度进一步提高，如何发现新的入口将是需要讨论的点。本议题从攻击者对整车研发的思考详细介绍挖掘车辆漏洞的方法。

下面就让我们来回顾看雪·第七届安全开发者峰会（2023 SDC）上《车联网——站在研发视角挖漏洞》的精彩内容。

演讲嘉宾

陈迎澳

小米智能终端安全实验室车联网安全专家

ChaMd5 Car负责人，目前主要从事手机、车联网、IoT的安全研究，曾多次在Geekpwn、车联网比赛中获奖。

演讲内容

以下为速记全文：

首先介绍一下我们的实验室，小米智能终端安全实验室是小米旗下的一个安全团队，主要是做移动安全和车联网以及IoT安全相关的安全研究，然后赋能我们自己的产品，也就是说是小米隐私安全的守护者。

在开始之前先看一下目录，我们本次会先从汽车网络架构开始讲，然后讲固件提取，都是一些比较实用的方法。

还有控车目标应该怎么找？因为我们如果说要找一个目标的话，通俗点说是挑个软柿子捏，通过一些我们前期信息收集的方式来找到一些合理的目标。然后我们再找到相关突破口。至于突破口怎么找，就涉及到他们在开发过程中会在哪些地方出现什么问题。接着再会介绍一个控车案例，在Geekpwn2022中我们用的控车的一个漏洞。最后还有一些其他的漏洞成果。

汽车网络架构现在我是把它粗略的分为两类，第一类就是燃油车架构，通过不同件它这个系统进行划分，比如说仪表盘，传统燃油车其实大部分都是QNX。然后我们的IVI它像一些比较老的车，它就是rtos这种，还有类似于T-box，它走的是移远Linux，基本上都用的这个。然后我们的网关也是rtos。其中因为老的车它车联网的通线其实并不多，所以都集中在T-box上来。然后再跟tsp进行通信，实现了以下4个功能：日志上传、PKI认证、远程控车和车辆位置监控。当然这只是展示了4个功能，另外还有好多。

新能源车则是以高通平台为例，因为现在很多都说这个车我们是8155平台，我们是骁龙的平台。骁龙平台的特点就是这个样子，我们主要把它分为了三层。

首先第一层应用层，主要跟APP相关，一些是OEM集成的APP，还有一些是他们自主研发的。传输层则是各种协议上的一些东西，包括DDS协议也是算在里面的。然后最底层就是这些系统。我们把它跟燃油车做对比，因为你要对不同系统不同件之间进行渗透，所以你首先要把它分类给搞好，比如说我们新能源车，像 ivi和这个仪表其实还是qnx，但是像现在新能源的话，它有的也是走的是安卓，然后我们的网关走的就是一个嵌入式系统了。然后我们的诊断协议uds，我们的ADAS用的英伟达的方案，基本上都是Ubuntu这样的。然后我们的T-box其实还是移远的Linux。我们看新能源车这么多年发展，为了汽车系统稳定性，它保留了很多相关的系统，但是为了先进性也做了一些变化。

我们可以看一下这两个的架构对比，首先IVI的区别是比较大的了。这是因为一个是QNX，它这个系统比较的老旧，后来用了QNX虚拟机开的一个安卓，通过这种方式，娱乐系统就更像我们的手机、我们的平板电脑。仪表区别就在于一个是QNX或者一个是QNX安卓，T-box其实都是一样的。然后网关又做了一些区别，传统走的都是UsbCan，现在我们都是以Doip为主的诊断协议了，都是通过TCP去做诊断了。

ADAS的话传统车都没有，新能源走的英伟达，Ubuntu。我们了解完这些之后，接着看一下是如何做到固件提取的，因为我们要分析一个东西，它一定得是拿到代码才能分析，不然分析不了。

这里我做了一些归类，针对这几个大件进行归类。IVI比较特殊，它可以通过我们开ADB的方式，通过工程模式进行提取。剩下的我们有个更通用的方法就是通过热风枪吹取我们相关的flash，再通过底座的方式进行读取，就是通过编程器来进行读取，这是通杀的。因为它不会像我们手机一样，手机它可能会有一些关键的分区做一些加密，汽车没有，它不做加密的。所以我们只要一提它就能出来，百分百好使，固件百分百能拿到，只要你能拿到件，然后通过引脚定义，我们在非线通过调试进行提，这个其实也是拿到固件才能做的事。

剩下两个实际上是通过漏洞的方式进行提取的，比如说我们车机热点其实基本上都是IVI开出来的，但是上外网是通过T-box上的，所以说ivi如果没有做网段隔离，我们通过这种集成商的，比如说移远他是通过口令，有的车企他不会改的，它用的通用口令。我们进去之后，就可以进到车的SSH里面，然后再进行一个提取，剩下提取就无所谓了，因为都进去了，怎么着都能给他提了。

然后我们还有一个方式，就是吹flash之外，他可能做了一定的隔离，但又没做这么全，所以说它IVI跟T-box是可以通信的，我们以T-box为跳板，通过这种方式再去提。实际上它就是没有做好各个域之间的隔离，导致的问题就是，我们不需要通过物理提取的方式进行提取了。

这是总结的几个方法。

我们平常研究的时候，这是某个件，然后我们通过找条串口，进到shell里。还有像这种，我们通过读EMMC的方式，再放到编程器进行读取。

当然现在有些比较新的，大家搞车的可能一下就能看出来拆的是啥，就是移远的一个模块。它的存储不太一样，它是emcp，支持emcp的编程器还是不太好找的，所以说这块的话还是需要有一定的这种特殊的设备才能进行获取。

这个图里是我们平常用的一个比较好使的编程器，如果大家想知道是什么的话，我们可以私下交流一下。

我们刚才讲到，供应商的口令，这里直接给大家展示出来，移远的EC20，做物联网的会比较熟悉，很多物联网的件也都是用的EC20，它的入口令，用的移远123。然后就是a335车规级的，车规级一般就是这个密码。当然随着现在对抗的不断加深，这种密码已经修了好多了，现在也不太好找了，直到去年还是非常好用的一个方法。

那么我想研究一款车，这目标怎么找？我怎么知道哪个车容易，它安全问题比较多，哪个车难打，是吧？

这里我给大家列了三点：

第一点，我们在信息收集阶段，就看这个品牌他有没有信息安全团队，要看他招聘，招聘你要从多个角度去看，例如boss直聘、他们官方的招聘等。如果一方面没有渗透测试人员，一方面又没有安全开发人员，这个车企就很危险了，它就很可能有安全问题。

第二点就是该品牌供应商为几家，这几家供应商供应几家车厂，这为的是打供应链。我们汽车是一个非常复杂的体系，最后下来的整车架构，一个供应商他会供好几家车企，所以说如果供应商能打开突破口，其实很多车都会出现问题。

第三点是对前两点的一个小总结，就是说我们通过这几点判断，车企他到底重不重视安全，这就是我们选目标的时候的思考角度，这是比较好使的。

我们现在确立好目标之后，怎么找突破口？这个时候就要分析攻击面，怎么分析？这里我也总结了几点，叫一远四近，就是一个远程无接触，4个近场，最后通过他的D-bus或DDS进行控车。

首先是远程无接触，其实翻译一下就是打云；第二个近场蓝牙，那就是打蓝牙。我们看一下这几个，如果它没有 WiFi密码，出厂随机数可以被爆破的问题，其实 WiFi是不好打的。

近场伪基站的话，我可以把信号接到伪基站上，然后再通过它暴露的端口进行攻击。这个蓝牙也不好搞，蓝牙的话你还得分析它的认证等，我们在短时间内也很难去攻破这辆汽车。所以说最简单的方式第一下直接就瞄准远程无接触，因为它的利用稳定，还有就是说它的漏洞，如果出现比较低级的一些问题，往往能导致这个车直接被控了。

最简单的就是云端越权就可以直接控车了。我们一会那个案例也会以远程无接触进行展开。那么车企为什么会出现这种问题，就是说开发他老写出一堆乱七八糟的代码是吧？

我们现在可以看一下为什么会出现这个问题。首先我们从软件开发的角度看，这两个阶段，一个是设计阶段，一个是编码阶段。设计阶段其实往往都做的比较安全，就是说你再不济，你做合规的东西，这个文档它也给你列的明明白白是吧？

说我们这个架构怎么搞，然后我们这个架构经过多次评审了，经过多次的调研论证了，所以说从架构角度出发，从设计角度出发，其实一般这么多人过来，他确实很难出问题。但一到这个代码阶段，到研发人员阶段，事态就不可控了，我们无法保证100%落地，我们的设计文档一定会有相关的折扣，这也是我们分析安全漏洞的一个方法，就是说没有不可攻破的设备，就是说就算你百分百落实了，他确实很难搞，但是你在这个编码阶段一旦出现问题，就跟设计阶段就没有关系了。

所以说在编码阶段，我们研发人员往往是因为赶着项目上线，他有压力，得赶紧把功能实现，就会忽视掉一些问题。还有就是研发人员他本身安全意识就不高，他没有这个底子，包括他们的整个研发团队，只注重功能，不注重安全。

第三个也是一个小总结，就是说我们打折扣完成这个事。我们主要说它为什么还是会出漏洞，是在这个阶段出的。

这里我讲一下我们的一个控车案例，这个是一个mqtt的问题，其实mqtt如果我们做得很安全，每一步都都做好了相关的防控制和各种的限制，它确实很难攻破，但我们分析了这么多车辆下来，能做到完美无瑕的往往不多。

这有两张图，其中一个我们可以看出它是泄露了一些信息，什么京、车牌号、token。另张图更像一个二进制的数据。

我们底下这段文字就是说，供应商的mqtt方案供5个车场，abcde我们如果想要控a车，但是这个a车它并不是很好突破，我们没什么办法，我们这时候就去调研b车，发现他的APP居然存了a车的 mqtts的TLS证书，这乐子就大了是吧？

我们通过这个方式，就可以直接接入a车的mqtt了。再利用这个问题，我们就可以通过a系车来控其他 a系车了。

所以总结一下就是多点收集，一点爆破，通过这个方式就直接把整条链路给打穿了。接着看一下，我们既然能连上去，我们就看一下他二进制数据到底是什么样的一个协议解析，也是需要我们脱下来固件去看的。

我们看一下整串数字 header vin，这些里面我们要关注于 message ID、server type和message type。

第二个是标明我这个包是第几个包，然后server type和message type重点是什么？就是说我们数据包到底是控车的服务，还是其他的数据，当然它这个包它有很多的数据，它不止这一个控车数据它有好多其他功能的，在逆向过程中我们只关注控车数据。

这个协议报文它其中也有坑，什么坑？这里分析其他数据，就发现它有710这个数据，因为标志位它其实是通过71037104这种来进行分割的，然后我们看到这段数据包发现最右边有个7f和y和FC，当然这个东西在代码里它会进行一个计算，就说他会把它用and算一下，算成0x7c，为什么要这么算？

做过协议开发的可能知道，如果你0x7c是另外一个数据包的关键的标志位的话，它是需要做转移的，因为它怕7c和其他的7c代表的意思重了，所以说他会做一次标志位的转译。

当然这个包是第一段包，第二段包跟它是合一起的，但因为这个包太大了，所以我放不下。

大家看到if后面之后就是包了77107的包，我们不关注0820什么东西，当然拟出来东西已经都标出来了，我们只需要关注加密后的数据，当然加密后的数据是另外一个问题，他通过AES加密之后，他居然把密钥明文存储在了固件，这个数据控车包就完全可以解开了。我们现在做合规，但这个东西是为了做合规而做合规，反而出现了一些安全问题，你把密钥存里面，拿到固件了，这密钥还是能解开。

好，然后我们解开之后就是关键了， type 711这个type，我们通过这个on和off来控制你车门是关还是开，然后再有一个时间戳和支持的长度，所以说我们已经控了数据包，这个数据包要通过mqtt进行发送，那个车就已经可以被我们成功解锁了。

这就是一个协议的分析。

然后还有个问题，有时候我们会发现mqtt的服务，它不一定在公网上体现，它可能在私网里出现，为什么？

就是说可能有一些他们也是为了安全上的要求，就是说我 tsp它只允许在私网中进行出现，我们怎么突破私网的限制？因为是在他运营商的大内网里，这时候就通过淘宝登场，我们找这种贴片天线，14块钱就帮你突破了。

闲鱼上买到的台架，接上这根线，就可以用车的网了，我们再跟车的WiFi进行连接，通过这个方式上网就可以直接进到车的内网了。如果这个车与车之间还不做隔离的话，这个问题就更严重了。

然后我们再看一下配件中泄露的地址，这个是什么意思？就是在逆向任务中发现说，我逆这个地址，因为它很多是c++写的，看着很难受，最快速的方法就是它大部分可能是放在DB文件里了，我们直接数据库文件里找相关mqtt的东西，就可以帮你去减轻了逆向的烦恼。

所以说这里尤其是看看 Bypass和 server，一个我们可以猜出来它 bypass绕过私网限制的一个IP地址，然后IP address就是我们纯汽车内网的一个地址。当然这个是两个都给了，像 IP channel是它的地址，这个东西它又只给了私网地址，不同车企它对于要不要在网上设立一条链路还是有区分。

我们拿到配件地址之后就是泄露证书，这个证书为什么只写了这张图？因为太敏感了，至于怎么分析的，这里给大家一个方法就是动态调试或者静态分析。因为绝大多数他在做提取的时候，做密钥存储的时候，我见过比较安全的车企，它喜欢把它存t一里。但是没用，为什么没用？

因为你终究是要用密钥的，只要我获得了你汽车的shell，我就可以动态调试，我在内存中就把你这个证书给拽出来了，所以说做双向校验，如果光通过mqtt的账号密码和证书其实是不安全的。

这里是整个的控车的示意图，我们分两侧，一个是用户侧，一个是供给侧，用户侧我们会发起相关的一个控车指令，然后请求到集群，再下发到mqtt控制指令，此时我们通过这种订阅的方式窃取这辆车的这个指令，并且进行一个解析，获取到数据包之后，再通过这种方式连接到我们的 mqtt的服务里，然后我们就伪装成这辆车给其他车发。

为什么让这辆车，因为有的车企他有做client id的限制，就是说它会通过can ID来标注，就是说你client ID是云平台认证过后的，才可以接入我们的 MQTT服务，所以我们就需要顶掉一辆车的MQTT，或者它不启动的情况下，通过 ID去给别人发，这样我们就可以完成了这一条利用链了。

接下来讲一下我们一些车辆的其他的一些问题。搞过手机都知道，你这个APP都需要厂商的签名的，你不签名是个公开签名，那可以干什么呢？

早在之前我们都认为你在应用商店下的东西理论上是不可靠的，当然车企上的应用它很多也是用第三方的应用，这当然也有。就是说只允许是他们承认的 App，比如这四五个APP才能在上面用，但是如果我们没有做任何签名的话，就直接上去用。

这种我们可以直接获取到了，比如说这个 APP它是个恶意APP，我们就可以直接通过公开签名，我们也签公开签名，拿到一个比较高的权限，对你的车做出一些不好的事情。就是你下这个APP你就出问题了。

我们刚才讲的是mqtt它认证可不可靠，最安全的存tee里，但是我们的密钥是不能出tee的。如果研发和性能允许的话，把整套逻辑都放在tee里去运行，但一般来讲对研发来讲这都是不可接受的。

然后还有类似于这种T-box的一个本地提权是怎么回事呢？我们看一下这个图，从这边开始这个是read，我们cmd传入一个值，这是我们用户可控的。

然后通过这个方式，然后我们到 switch case，通过这个方式它会传出一个case，case之后会执行到 system的一个命令执行，当然我们这可以看到偏移67，所以说只要我们传入一个相应的偏移，然后再将case的值置为42，后面跟上我的命令就注了。这个洞有什么用？因为有时候我们进到ivi里面，它是个shell权限，我们拿不到root，拿root的方式一般来讲，要么就搞安卓本身的一些提权，要么就搞这种，这个是监听在一个1270.0.1的服务，我们在本地进行这种方式进行注入，给本地发，就可以造成命令执行了。

命令执行通过这个方式，我们就可以完成了一个提取权，当然他这个问题比较大，没有做任何的安全上的考虑，他不止一个case有system，他们执行好几个case都有这个问题。

还有问题就是运营商的这个网段它不隔离，刚才在私网中提了一点，我们通过a车T-box网络攻击其他车，同时b车与a车在一个运营商网站就可以通过a车打入b车。什么意思？就是说你运营商他在做私网地址的规划的时候，他可能把两辆车规划在一个网里，如果我们能进入到这个车的网，其他车的网我们也就通了。

之前是扫描c段的时候充分验证了，所以说这个东西要配合一些漏洞打。就是这个，之前挖过的一个漏洞，未授权的一个远程重启，他是通过自己的协议去发一个二进制的数据包，然后通过这个方式我们可以去打一个DOS，怎么打？

如果你做了隔离这个问题就仅仅只限于这一个车了，但是如果没做隔离的话，当时扫了整个c段下来，几千台车都可以通过这个方式打，几千台在线车，都会从这个方式去打，并且端口都是开放的，直接可以打DOS了。

还有这个车域之间它不隔离，也是我们刚才讲挖提取空间的时候，我们ivi它连上WiFi之后，它如果不做隔离你都通上了，那是不正确的，就是说每一个都不能互相通信，要做好车的私网划分。

好，还有我们的工程模式，其实工程模式怎么获取一直是个比较讲究的问题。我们去渗透一辆车，如果拿不到工程模式，我们连他的shell都开不开，更不要说这种整车渗透了，所以说我们首要的目的就一定是要开它的工程模式，ADB怎么开？每个研发方案不一样。

其中就可以给大家讲两个，一个是还有有些车它这个车是插U盘启动，当然它这个插U盘起不太一样，准确来讲都不能说插U盘了，它是检测你硬件设备的弯道ID和product ID，只要符合0529或者然后001003就可以开工程模式，它一检测就给你开了。当然还有一种也是通过U盘，但是他把密钥写进了我们的文件里，在通过插入之后检测到这个文件，说它可以写ADB了，然后就可以起来了。有好几种方式，现在因为更安全了，就会有些更新奇的方式，这里不太方便讲。

一开始也提到过云端平行越权，比如说有一个用户小王他买了个车，结果小王是个搞渗透的，说我每次请求的时候我有一个token，然后小王就从这个token，请求的时候，把vin的换成别的车，发现我也能控其他车，大概就这个意思——通过token就越权控了该品牌下的其他车了。

这个问题现在分析下来，这个问题存在不存在，跟车企有没有钱做安全是完全正相关的，基本上不招安全的，都有这个问题。

最后讲一下27认证的问题，27认证其实大家都知道，27服务请求一个seed，然后他会给我们回一个seed。我们再通过 seed算出一个key，当然这个key怎么算每个车型不一样，他算出这个key之后再把 key发回去，然后ecu做一下对比，说我们key1、key2相同，我允许你解锁，这就是个27认证的过程。我们可以做一些ecu的升级，或者说获取到一些固件。甚至他可能藏了后门，我们通过这种方式解锁之后，可以通过这个方式把车的SSH服务打开。

其实讲了这么多，最后还是想说一句话，就是我们做汽车渗透的人员讲究的是跟车企的一个双向奔赴，一个是车企方面对汽车安全人员要有一定的宽容，然后我们也要做出相应的回报给车企，才能共建我们车联网安全的一个进步。谢谢大家。

*峰会议题PPT及回放视频已上传至【看雪课程】https://www.kanxue.com/book-leaflet-171.htm

PPT及回放视频对【未购票者收费】；

【已购票的参会人员免费】：我方已通过短信将“兑换码”发至手机，按提示兑换即可~

《看雪2023 SDC》

看雪安全开发者峰会（Security Development Conference，简称SDC）由拥有23年悠久历史的顶尖安全技术综合网站——看雪主办，面向开发者、安全人员及高端技术从业人员，是国内开发者与安全人才的年度盛事。自2017年七月份开始举办第一届峰会以来，SDC始终秉持“技术与干货”的原则，致力于建立一个多领域、多维度的高端安全交流平台，推动互联网安全行业的快速成长。

钻石合作伙伴

黄金合作伙伴

球分享

球点赞

球在看

点击阅读原文查看更多