以下內(nèi)容整理自談思AutoSec 8周年年會(huì)。
分享嘉賓:小米科技高級(jí)安全專(zhuān)家 尹小元
嘉賓簡(jiǎn)介:小米車(chē)聯(lián)網(wǎng)安全專(zhuān)家,智能終端安全實(shí)驗(yàn)室負(fù)責(zé)車(chē)聯(lián)網(wǎng)安全工作,10余年安全工作經(jīng)驗(yàn),多次參加GeekPwn和汽車(chē)安全比賽并榮獲多項(xiàng)大獎(jiǎng)。精通IOT、移動(dòng)端和車(chē)聯(lián)網(wǎng)安全。在車(chē)聯(lián)網(wǎng)安全體系建設(shè)和漏洞挖掘上有著豐富的安全經(jīng)驗(yàn)和深入的研究。
我的演講主題是《Tbox-黑客手中的潘多拉魔盒》。對(duì)我們來(lái)說(shuō),Tbox就是一個(gè)黑盒,它的功能非常強(qiáng)大,如果通過(guò)黑客的手段把Tbox變成一個(gè)灰盒或者一個(gè)白盒的話,就會(huì)給我們帶來(lái)很大風(fēng)險(xiǎn),而且是一些可預(yù)測(cè)的風(fēng)險(xiǎn),比如說(shuō)遠(yuǎn)程控制等。
本次的主題演講主要分為三部分,一是介紹Tbox的功能點(diǎn)和風(fēng)險(xiǎn);二是結(jié)合實(shí)際案例分析Tbox所面臨的一些威脅場(chǎng)景;三是從甲方和消費(fèi)者的視角,來(lái)探討問(wèn)題的解決之道。
01 Tbox的功能點(diǎn)和風(fēng)險(xiǎn)
首先,大概介紹一下Tbox的功能。如圖1所示,這是一個(gè)比較典型的Tbox硬件設(shè)備,外觀上來(lái)看其實(shí)挺簡(jiǎn)單的,它主要會(huì)預(yù)留一些硬件的接納口。概念上的話,Tbox就是一個(gè)通信盒子,它是一個(gè)遠(yuǎn)程的通信終端,可以啟動(dòng)遠(yuǎn)程通信及網(wǎng)絡(luò)服務(wù)的一些功能。
從接口上看,它有UART、USB、JTAG、ETH、CAN等接口,這些接口提供了很好的調(diào)試作用,不過(guò),這些接口從我們安全研究的角度來(lái)看,其實(shí)相當(dāng)危險(xiǎn)。
圖1
從模塊上看,Tbox有4G、5G模塊,以及藍(lán)牙、以太網(wǎng)、GPS 等模塊,在這些功能模塊中,我們比較關(guān)心的是具有遠(yuǎn)程控制功能的一些模塊,因?yàn)槿绻羞@些遠(yuǎn)程控制功能存在問(wèn)題的話,對(duì)我們來(lái)說(shuō)是很好去利用的。有了這些功能,我們才會(huì)進(jìn)一步去分析這些硬件設(shè)備。
Tbox大家都知道,但是不一定都拆過(guò),我們團(tuán)隊(duì)在閑時(shí)對(duì)市面上比較流行的Tbox基本都拆了一遍。
如圖2所示,最左邊的是基礎(chǔ)版Tbox,像這類(lèi)Tbox的功能就比較簡(jiǎn)單,大多數(shù)就是消息推送或數(shù)據(jù)上報(bào),還有一些會(huì)有告警信息的功能。一般來(lái)說(shuō),這些功能沒(méi)有太大的安全風(fēng)險(xiǎn),但是2020年發(fā)生過(guò)一個(gè)案例:上海某些汽車(chē)的Tbox信息系統(tǒng)里彈出了類(lèi)似于“上海發(fā)生槍?xiě)?zhàn)”的消息,造成了一定的恐慌,其實(shí)這就是Tbox被黑后造成的。還有一些Tbox比較老,里面用的是SIM卡,把SIM卡插到手機(jī)上,就可以通到汽車(chē)的內(nèi)網(wǎng)中。
圖2
圖2中間的這個(gè)就是帶有遠(yuǎn)控功能的Tbox,它做得還是比較復(fù)雜、比較大的,而且功能也比較強(qiáng)大,里面有不少業(yè)務(wù)功能。說(shuō)實(shí)話,我們比較喜歡這種功能復(fù)雜、且?guī)в懈鞣N遠(yuǎn)控功能的Tbox,因?yàn)楣δ茉蕉啵鲥e(cuò)的可能性就越大。最右邊這張圖是我們研究過(guò)的30多家廠商的Tbox。
圖3是Tbox的一個(gè)功能框圖。從這個(gè)框架圖來(lái)看,結(jié)構(gòu)還是比較簡(jiǎn)單的,就是5G模組、MCU、接插件和一些外圍接口組成。
圖3
這里主要從硬件和接口這兩方面做一下分析。硬件方面,我們比較關(guān)注一些遠(yuǎn)程控制的模塊,比如WiFi、藍(lán)牙、耳機(jī)等。其中,我們對(duì)藍(lán)牙研究得比較深,很多場(chǎng)合的藍(lán)牙多少都會(huì)有一些問(wèn)題,攻擊者可以輕易地通過(guò)藍(lán)牙漏洞進(jìn)到車(chē)?yán)铮蛘邔?shí)行一些遠(yuǎn)程控車(chē)。接口方面,在調(diào)試或者分析控車(chē)的一些應(yīng)用時(shí),需要通過(guò)接口進(jìn)到車(chē)?yán)?,所以它也是非常重要的一點(diǎn)。
圖4是基于時(shí)間軸梳理的一些云管端安全案例,從這些案例中,我們可以看到,不管是油車(chē)還是電車(chē),都面臨不少安全風(fēng)險(xiǎn)。
圖4
如圖5所示,這是我們?cè)谀澈ur市場(chǎng)上買(mǎi)的Tbox案例。拿到這種硬件設(shè)備,我們首先會(huì)分析它的供電,看看怎么讓它跑起來(lái);然后再去研究它的激活方式,怎么把它的屏幕點(diǎn)亮;再就是通過(guò)調(diào)試口進(jìn)到系統(tǒng)內(nèi)部去,去分析一些控車(chē)的利用邏輯。有些調(diào)試口需要驗(yàn)證,所以我們要通過(guò)暗碼來(lái)打通這個(gè)鏈路,才能進(jìn)到系統(tǒng)內(nèi)部去分析。
圖5
不管拿到什么樣的Tbox,首先都是看看有沒(méi)有控車(chē)的功能,沒(méi)有控制功能的話,做再多的東西都是白費(fèi)。其實(shí)我們之前也買(mǎi)過(guò)一些只有簡(jiǎn)單的數(shù)據(jù)上報(bào)或者信息推送功能的Tbox,這些對(duì)安全來(lái)說(shuō),是沒(méi)什么價(jià)值的。
其次是看調(diào)試口,因?yàn)橹挥心孟履莻€(gè)調(diào)試口,才能進(jìn)到系統(tǒng)里面,去分析哪些是控車(chē)應(yīng)用,做一些工作的運(yùn)行檢查,從而減少我們很多時(shí)間。
最后一點(diǎn)就是提固件。很多時(shí)候,調(diào)試口是封閉的,或者說(shuō)沒(méi)有預(yù)留調(diào)試口,我們就需要去把Tbox的UFS或者eMMC固件提取出來(lái),再做進(jìn)一步分析。如果固件有讀寫(xiě)保護(hù)的話,可以用如故障注入等一些高級(jí)的應(yīng)用方法來(lái)處理。
02 Tbox漏洞分析
介紹完Tbox,接下來(lái)就結(jié)合實(shí)際案例分析一下Tbox漏洞。
如案例1是通過(guò)邏輯分析儀找到了硬件PCB上隱藏的一個(gè)UART,通過(guò)這個(gè)UART我們可以去直接開(kāi)啟adb,打開(kāi)調(diào)試模式。如下圖所示,最左邊是它的網(wǎng)卡信息,右邊就是通過(guò)UART開(kāi)啟調(diào)試的方法。
其他一些案例有:通過(guò)逆向app、逆向固件、復(fù)雜條件下的固件提取、提取固件逆向、逆向某證書(shū)等方式實(shí)現(xiàn)控車(chē)的案例,如:
03 安全建議
最后從廠商和消費(fèi)者兩個(gè)視角分別提一下個(gè)人安全建議。
對(duì)于廠商,我希望廠商多重視安全人才的建設(shè),特別是在0-1和1-N階段,要注重核心人才的投入。企業(yè)的安全能力建設(shè)主要從下面四個(gè)維度介紹。
在初始階段,最主要的是安全基線,打好基線就是做好基座,要做好方案的評(píng)審,有條件的話,還要做三方滲透;在發(fā)展階段,要把安全介入到整個(gè)測(cè)試流程中去,包括開(kāi)發(fā)人員也要把安全融入到開(kāi)發(fā)過(guò)程中去;在穩(wěn)定階段,安全制度流程已經(jīng)建立;到了成熟階段,安全平臺(tái)做得很好,滲透一類(lèi)的操作可以通過(guò)平臺(tái)去跑,安全人員只要看看日志以及平臺(tái)的一些告警就可以了。
對(duì)于消費(fèi)者而言,怎么來(lái)看自己購(gòu)買(mǎi)的車(chē)是否安全。首先,建議買(mǎi)大廠的,這里要提一下,別看特斯拉是被報(bào)道過(guò)的破解最多的就以為它不安全,這是陷入了幸存者偏差的誤區(qū),從我個(gè)人角度來(lái)看,特斯拉的安全應(yīng)該是所有車(chē)廠中做得最好的。
第二,在新勢(shì)力和老牌車(chē)廠中如何選擇?對(duì)新勢(shì)力來(lái)說(shuō),它的優(yōu)勢(shì)在于安全投入相對(duì)較高,還是建議體驗(yàn)一下;從市場(chǎng)占有率的角度來(lái)說(shuō),占有率大的車(chē)廠,它有一定的存量市場(chǎng),有持續(xù)的造血能力,它肯定在安全方面有一定投入,所以建議在大的廠商里去選擇。
第三,你要是實(shí)在不放心,就買(mǎi)傳統(tǒng)車(chē),買(mǎi)那些沒(méi)有TBOX和IVI等設(shè)備的老爺車(chē);最后一點(diǎn),就是國(guó)內(nèi)的環(huán)境相對(duì)來(lái)說(shuō)還是很好的,不像國(guó)外有很多的偷車(chē)或盜車(chē)的場(chǎng)景,國(guó)內(nèi)的話,安全圈其實(shí)很小,特別是汽車(chē)安全圈,一般不會(huì)有大規(guī)模的漏洞泄露的情況。
尹小元的完整演講PPT,可關(guān)注“談思汽車(chē)”公眾號(hào),后臺(tái)回復(fù)“小米尹小元”,獲取PPT下載鏈接。
- THE END -
審核編輯 黃宇
-
車(chē)聯(lián)網(wǎng)
+關(guān)注
關(guān)注
76文章
2579瀏覽量
91574 -
智能汽車(chē)
+關(guān)注
關(guān)注
30文章
2851瀏覽量
107269 -
小米
+關(guān)注
關(guān)注
70文章
14350瀏覽量
144162 -
TBOX
+關(guān)注
關(guān)注
0文章
17瀏覽量
8170
發(fā)布評(píng)論請(qǐng)先 登錄
相關(guān)推薦
評(píng)論