去年黑掉 Jeep 自由光的那二位,最近又把它「黑」了一次
去年,两名叫作 Charlie Miller 和 Chris Valasek 的黑客成功入侵了一辆 Jeep 自由光。利用克莱斯勒 Uconnect 车载系统的漏洞重新刷入了带有病毒的固件,并向 CAN 总线发送指令控制汽车。最终,两人的「 杰作」 迫使 FCA 召回了 140 万辆车进行返厂升级。Charlie Miller 和 Chris Valasek 在黑客圈则声名鹊起,全部进入到了 Uber 高级研究中心工作。 不过,黑客就是黑客,岂会善罢甘休?这一次,Jeep 自由光又悲剧了! 有了上次的黑客入侵事件之后,FCA 显然吸取了教训,将召回车辆的系统固件全都进行了更新。只不过,Jeep 的系统防线实在是漏洞百出,这一次又被攻破了。Charlie Miller 和 Chris Valasek 使用一台笔记本电脑连接了车辆的 OBD 接口,通过 OBD 接口,两人成功黑掉了 Jeep 自由光的 ECU 系统。这意味着,他们可以随意控制这台车辆的加速、制动以及转向等操控行为。不久之后,Charlie Miller 和 Chris Valasek 就准备将这项漏洞在黑帽大会上展示出来。 针对这起黑客破解行为,FCA 也作出了相关回应:FCA 很佩服两位黑客的创造力,公司测试部门的研究人员在试验过程当中,没有找到任何一种破解方案去侵入到 Jeep 自由光当中。 Charlie Miller 和 Chris Valasek 说,他们希望车企们能够采取更多的措施去加密 CAN 总线,不要让一些恶意诊断程序破坏 ECU 系统。除此之外,这二位还建议各家车企,应该建设一套恶意攻击监控系统。这样,在整车系统被侵入时,监控系统可以第一时间发现并采取相应措施进行控制。 那么,这次破解的危害大吗? 答案是否定的,因为它不具备大规模复制性。相比于上次远程控制自由光,这次通过物理接触方式进行的破解,相当于当面抢劫,而上次的破解,相当于隔空取物。举个例子,用十分钟攻破一辆车,和用十分钟同时攻破一万辆车,造成的危害不在同一个量级,而且,这次的攻击,需要打开车门,向 OBD 接口上插入设备,这决定了它的可操作性更低,首先你得搞到一辆自由光吧? 对于黑客来说,这种攻击成本显然很高。 如果他俩不是特意想搞出点动作出来给自己抬抬身价,那还真算是 FCA 的真爱粉了——专挑 FCA 这个软柿子捏…… 不过,我们还是得说,汽车电子化水平是提高了,也给用户带来更多便利了,但是,汽车安全建设能否跟上这种步伐,也确实是整车厂需要认真考虑的问题。 原创声明: 本文为 GeekCar 原创作品,欢迎转载。转载时请在文章开头注明作者和「来源自 GeekCar」,并附上原文链接,不得修改原文内容,谢谢合作! 欢迎关注 GeekCar 微信公众号: GeekCar 极客汽车(微信号:GeekCar)& 极市(微信号:geeket)。
一个 18 岁黑客,是怎么「黑」进一辆车的?
如果说之前黑客远程破解汽车的行动还没能让你意识到汽车安全的重要性,那么接下来的一条消息可能会让你意识到,原来不能联网的车也不是绝对安全。 在「 补天」 漏洞响应平台上,最近就有黑客团队曝出沃尔沃、比亚迪、别克这三个品牌部分车辆的防盗系统存在设计缺陷,只需要用成本在几十元的设备,就能无限制进行开关车门和后备箱的动作。整个过程并不需要车辆具备联网功能,只要是利用车钥匙遥控开关车门,就有潜在的风险。 车子不联网,黑客怎么能破解防盗系统呢?是不是就是我们常说的那种「 锁车干扰」?事情当然没那么简单。 发现这一漏洞的是来自「 神话团队」 鬼斧实验室的一名 18 岁黑客。在发现漏洞的分享会上,我也了解到整个破解流程。由于关系到很多车辆的安全,因此相关核心漏洞需要保密(还因为我不懂代码)。 问题的关键在「 同步值」 虽然核心漏洞不能透露,但整个破解原理并不复杂(只是很枯燥):黑客通过对汽车遥控钥匙的无线信号进行监听获取,并将信号按照特定的机制发送,就能够无限次的重现遥控车钥匙的功能。 黑客能够捕捉信号再发送给汽车进行破解,主要是因为这几款车的防盗系统都使用 HCS 滚码芯片和 keeloq 算法。这是在上世纪 80 年代美国一家公司推出的一种加密解密技术算法,具有安全性高的特点,主要应用于汽车防盗系统和门禁系统,是无钥进入系统领域的首选芯片。 换个容易听懂的说法, HCS 滚码芯片和 keeloq 算法是目前很多汽车和门禁遥控钥匙采取的软硬件解决方案,一旦被破解很容易引发大规模安全问题。 回到这次破解,车主每次按下钥匙的锁车键、开车键都会触发一次新的信号发出,车辆在收到信号后快速计算,决定是否打开车门。在这个命令的代码中,包含每辆车和钥匙的唯一且固定的识别码(序列号),以及每次命令加密过的同步值(每次操作之后同步值自动+1)。 钥匙每发出一次命令,钥匙和汽车都会对同步值进行保存记录,汽车接收到命令后,必须对同步值进行检验才会进行下一步操作。打个比方说,车钥匙发出同步值为「11」 的信号,车内保存信号为「10」,车辆检验两者信号差在某个范围内即可开门(防止用户可能无意中按过开关导致同步值不统一,但差值不会太大)。 这个计算既有 10 进制算法、又有 16 进制算法,两者算法需要经过多次换算。程序员编写程序时候出现了一个明显漏洞,只要接收到两个连续的开锁命令(比如 10 和 11),系统就无法识别是否为当前钥匙所发送的命令,就会默认执行。 千言万语汇成一句话,一旦黑客获取到连续两个同步值的命令(这需要车主在特定时间长度内连续发送两次命令),就能利用这个漏洞无限制的模拟实现车钥匙的功能,车也就被黑了。 危害性大吗? 在破解现场,我们还经历了一段比较有意思的「 意外」。由于受到不知名的干扰,接收器对于车辆发出的命令多次尝试仍然不成功,最后才发现是由于投影仪的遥控器的信号影响了破解设备的运作。从这一点我们可以看出,这套破解设备对于外界环境的抗干扰能力很低,需要在比较理想的情况下才能实现破解。 由于是对整段命令进行获取,所以黑客无法分析每辆车和钥匙独有的识别码。因此目前这样的破解只是针对特定的单一车辆,还不能对同一车型做出无差别破解。 对于这个漏洞,「 神话行动」 负责人王英健介绍,已经在沃尔沃 2008 款 XC90、比亚迪 F0、别克君威等部分款式车辆中发现,但目前尚不清楚受到影响的车辆总数。由于是软硬件问题,所以车主只能将车辆开回原厂或者 4S 店进行防盗系统更换或升级。而且使用 HCS 滚码芯片和 keeloq 算法的车辆时间跨度很长,有些车型已经很难进行维护。 再来说说这种破解方式和「 锁车干扰」 方式的区别。其实这个技术在「 锁车干扰」 之上获取了更多的权限,用户在毫无知觉甚至是确保门已经锁好的情况下,还是无法避免被黑客窃取信号进行破解。 只要一旦能够在车主不知情的情况下进入车里,那可以造成的隐私泄露、财产损失的危害就很不可控了。而且黑客还能利用漏洞进行锁车,让车主无法察觉车辆是否被入侵。 真是「 防不胜防」…… 原创声明: 本文为 GeekCar 原创作品,欢迎转载。转载时请在文章开头注明作者和「来源自 GeekCar」,并附上原文链接,不得修改原文内容,谢谢合作! 同时欢迎关注 GeekCar 微信公众号: GeekCar 极客汽车 (微信号:GeekCar)& 极市 (微信号:geeket)。
汽车黑客的真面目
昨天,在北京的 SyScan360 黑客大会上,出现了两个「 熟悉」 的身影:Charlie Miller 和 Chris Valagek。 你可能对这两个名字不熟,但是你肯定知道前一阵美国黑客「 破解」 克莱斯勒的事。没错,就是这两位「 大神」。 既然请来了大神,不装个 X 怎么行? 「 脱口秀版」 破解流程 这俩大哥举着酒瓶子,在舞台上把之前如何破解汽车的方式又讲了一遍。不过,这个看起来有些枯燥的流程,被这两位「 喝高」 的大哥表演的更像是一场「 脱口秀」。 那他们到底是怎么黑的那辆车? 具体总结大概是这么个流程(其中的技术细节就不多说了,太枯燥): 首先,通过连接车载 Wi-Fi 或者运营商数据通信(这需要模拟设备来模拟运营商基站)接入汽车系统,不过目前只有相同运营商(也就是网络频段相同)的手机和汽车才能连接进行破解。 一旦成功连接到汽车 Wi-Fi 或通信网络之后,黑客会扫描系统的漏洞。 Charlie Miller 和 Chris Valagek 就发现了由哈曼作为供应商的 Uconnect 系统中存在的漏洞,从而进一步进入了车内系统。这步需要一定时间去慢慢扫描端口,从而发现有漏洞的服务器。 第三步,利用逆向工程重刷汽车的系统固件。这需要对整套系统固件的数据特别了解, Charlie Miller 和 Chris Valagek 表示,光研究这套固件就花费了几个月的时间查看资料。 当成功刷新固件之后,黑客就能够进入固件设置 CAN 的数据值,再通过远程给 CAN 总线发送信息,从而控制车辆。 破解流程被描述的有些轻描淡写,甚至是「 欢声笑语」。不过我们也都知道,实现这样的功能还是需要消耗很长时间,光是研究发送什么样的信息去实现相应操作,这一点就让他们耗费了很长时间进行试验(失败了无数次)。 最终,我们通过视频看到,他们利用电脑,成功控制了车内所有可以通过 CAN 总线控制的部件,比如转向、刹车、中控、门锁等。 他们也表示,这种破解方式不仅仅局限于之前被 FCA 召回的那 140 万辆车,所有联网车型都存在类似威胁,毕竟没有攻不破的系统。 从黑客到 Uber 不过在我看来,破解流程并不是这场「 秀」 的唯一亮点,高潮出现在结尾的提问环节。当我们问他俩在 Uber 的工作状况时,刚刚还「 谈笑风声」 的两兄弟却用有些 Geek 的方式直接「 逃」 下了讲台。 原因其实不难理解,在活动发放的手册上,我们看到 Charlie Miller 的头衔是 Uber 安全工程师,而 Chris Valasek 是 Uber 前沿技术中心(Uber Advanced Technology Centre)的安全负责人。 我们之前就知道, Uber 正在研发无人驾驶相关的技术。因此被 Uber 招安了的「 黑客」 应该是签了保密协议,并没有我们想象中那么潇洒,才会出现逃走的那一幕。 不过他们也并不是什么都没说,还是介绍了自己对于无人驾驶安全方面的看法。 无人驾驶技术的首要条件就是保持车辆时刻在线,这无疑加剧了危险发生的可能(现在的车都那么容易被黑,以后的肯定更危险)。Charlie Miller 和 Chris Valagek 认为,汽车安全并不是单单依靠 OEM 厂商就能完成的,还需要网络运营商、供应商等进行配合。 由于车辆本身的设定原因(高于一定速度之后电脑不能控制机械部件),目前他们对汽车的远程操控只能在低速时实现。不过一旦实现无人驾驶,车辆电脑就会默认支持更高的速度,到时候发生危险的可能性就大大加强了。 所以这也就是 Uber 要把他俩请过去专门负责安全和前沿技术相关研发的原因,只有黑客才更懂安全。 原创声明: 本文为 GeekCar 原创作品,欢迎转载。转载时请在文章开头注明作者和「来源自 GeekCar」,并附上原文链接,不得修改原文内容,谢谢合作! 同时欢迎关注 GeekCar 微信公众号: GeekCar 极客汽车 (微信号:GeekCar)& 极市 (微信号:geeket)。
黑客真的很容易入侵我们的汽车吗?
2011 年 3 月 11 日,日本福岛第一核电站 1 号反应堆所在建筑物爆炸后,造成核泄漏事件,民众为了抵抗核泄漏带来的负面危害,买了很多盐(甚至含盐量高的食品都遭到哄抢),不知大家是否还记得? 最近,「 伤不起」 的汽车安全,已经进入了「 黑色八月」,涉及事件有好几起:从克莱斯勒召回 140 万辆存在安全漏洞的汽车开始,躺枪的还有 Onstar 安全漏洞,特斯拉的破解攻防战以及通用科尔维特被破解。 对此,我们试图把这种高大上的黑客作法,用普通群众能理解的语言表达出来。呵呵,实际上就是耳熟能详的「 把大象装进冰箱」,一共分三步:第一步是把冰箱门打开,第二步是把大象放进去,第三步是把冰箱门关上。 但是!如果不按照这个步骤,那又是如何把大象装进冰箱呢?完整的步骤才能构建完整的过程,这个可是连小学生都知道的道理啊,所以,我们不能忽略一些细节而得出一些结论(比如说车联网系统不安全等),否则就不是科学严谨的判断,而是想当然了。 任何的时候,攻和防的关系都是矛和盾的关系。从汽车 CAN-Bus 总线上的某个节点来监听或破解私有协议,对专业人士来说不难,毕竟都是明文传输;通过 CAN-Bus 总线发指令来控制汽车,同样对专业人士来说也很容易。 但这个算漏洞吗?即使把这个理解为系统漏洞,那我们要关心的是:这种漏洞是否容易被菜鸟级的黑客所掌握,如果菜鸟级黑客都能干,那说明,不仅是漏洞,而且危害程度极高。 这里举个简单例子,最常见的网站攻击,比如黑首页、拖库等,简单常用的就是 SQL 注入式攻击,而且这个攻击手段,是菜鸟级的人都能掌握的。那为什么菜鸟黑客那么多,我们的网站没有遍地被黑呢?是因为这种漏洞的防护,也是菜鸟级的码农就能搞定,才入行的程序猿也能很好地把防注入攻击代码放到他的核心代码里面,分分钟堵住口子,所以,这是个很有危害的漏洞吗?也可以说是,也可以说不是。「 是」 是因为这种攻击很简单易上手,「 不是」 是因为防起来也很简单。 目前的各类「 黑汽车」 事件,初一看确实是个很有危害的问题,可大家都是去强调了危害性有多大,但是忽略了一点:发生概率。能干这事的人也太少啦,就好像银行系统也有人攻破,你说危害大不大?我想要给我账上转一个亿就一个亿,但是能干这事的人又有几个?另外再说了,真有人干了这个事,国家要把这个人掘地三尺揪出来,也很容易嘛。 既然是谈技(极)术(客),我们就从技术的角度去说清楚,要干这个事,怎么去干,才能干的出来,这才是理性的分析。现在是谈虎色变,一说 OBD,卧槽,太不安全了,没活路了,啪啦啪啦…!把村长都逗笑了。这就类似在讨论,因为你家的门锁可以被人打开,所以门锁就不安全了,有意义吗?没意义吧,谁家的门锁,通过暴力搞不开嘛,斧头同意? 就拿目前宝马弄的一套产品(中宝通辅助驾驶系统)来举例,要想攻破,该怎么去做?首先必须要攻入他当前运行的服务器,获得系统的控制权限。因为 OBD 终端盒子上的那张 SIM 卡是定制的物联网卡,这种物联网卡,设定好只针对特定的 IP 地址能数据互通,那别的 IP,就想都不要想了。 其次,想攻陷那台服务器也没那么简单,因为他是一台云主机,而且是阿里云的。既然不是一台物理主机,只是一台虚拟机,那黑客首先得把阿里云的云服务器防御体系攻破,攻破以后,再进到这台云主机里,去获取相应的系统控制权,这才算完成第一步。 第二步,黑客通过这台云主机去完全控制一台不跑任何操作系统的 OBD 终端盒子(那跑什么?跑单片机 while 循环)发特定的指令,这在理论上是几乎不可能的,即算可能,这还是第二步,这种可能性已经基本降到零了。 我不排除某黑客可以通过云主机远程下载一个固件到指定的 OBD 终端盒子(毕竟智能硬件支持空中升级是必须的)来运行,通过这个特定的固件还能把原固件上传回来,通过反编译原固件还能还原全部的 CAN-Bus 控制指令,比如让发动机点火、熄火等,这是第三步。 哇!要独立完成这些,这得是一个多强大的黑客啊!(比我钦佩的全栈工程师还牛 B)另外,下载的固件能确保控制目标 MCU(单片机)?针对这个问题,我们咨询了一下深圳速锐得的工程师,其表示难度非常大:没有硬件原理图,如何知道 MCU 型号?即使知道型号,如何知道外围器件的连接 I/O 口定义?即算知道 I/O 口定义,如何绕过 IAP 程序(类似引导区程序)的有效性识别?关于远程升级与 IAP 程序,速锐得的工程师解释了一下:在远程升级里,先把固件从云服务器下载到 OBD 盒子外部 flash,再通过 IAP 程序把外部存储器的代码烧录到内部 flash 才算完成升级,整个过程会有严格的版本校验机制,就类似一把钥匙开一把锁,必须完全匹配。 在近期报道的几起「 黑汽车」 事件中,我们发现,黑客好像不用费多少周折就达成目的了。说明这些被攻破的系统本身设计时就很有漏洞(Windows 的漏洞也不少),但我们拿一套本身就设计不完善的系统当典型,来说明 OBD 很不安全,这个就极为不科学了。 当然,有小伙伴会问:像 OBD 厂商自己做的平台,自己想要控制,可以实现吗?回答是:可以的。就像开自己家的门,拿自己家里的东西一样。但!那算黑客吗? 黑客把 OBD 盒子在汽车领域的安全问题推到了舆论的风口浪尖,弄得人心惶惶,不明真相的人太多,还记得当年福岛核泄漏事件中,民众恐慌到什么程度吗?就是买的盐到现在都没吃完! 原创声明: 本文为 GeekCar 原创作品,欢迎转载。转载时请在文章开头注明作者和「来源自 GeekCar」,并附上原文链接,不得修改原文内容,谢谢合作! 同时欢迎关注 GeekCar 微信公众号: GeekCar 极客汽车 (微信号:GeekCar)& 极市 (微信号:geeket)。
不必担心,Tesla 还是很安全
在本次 GeekPwn 极客安全嘉年华上,著名白帽子团队 Keen 演示了一项最新成果——完全控制一辆特斯拉 Model S 的驾驶权。 Keen 通过微信发送一个链接给任意一个人,他只要点击这个链接,浏览器就会打开一张特斯拉 Model S 图片。当他点击图片里汽车的轮胎,停在场地外外面的那辆特斯拉就会发动。再点击一次图片的轮胎,他就可以让 Tesla 发动机停止运行。那这是否说明特斯拉就不安全了呢?恰恰相反,这次破解足以证明目前 Tesla 是非常安全的。 通常来说,研究系统安全性的人员,大家习惯称之为黑客。在大多数人印象里,他们是攻击计算机系统、制作计算机病毒的破坏者。但有这么一群人,他们研究系统安全,挖掘系统漏洞并不是想要攻击别人,而是将这些漏洞提交给厂商,供其修补漏洞,这群人被叫做白帽子。中国最有名的白帽子团队叫做——Keen Team。 Keen 团队里面聚集了中国甚至世界级顶尖黑客高手,更因不久前获得的 Pwn2Own 2014 大奖而闻名于界。10 月 24 日,Keen 在北京举办首届 GeekPwn 嘉年华活动。在这次活动上,Keen 团队不仅展示了这半年的研究成果,更大的意义在于,Keen 想要通过这次活动,挖掘埋藏在普通民众间的黑客。我有幸参加了这场盛会,同时看到 Keen 团队在这半年的研究成果:远程控特斯拉 Model S 汽车。 为什么特斯拉成为各大黑客关注的焦点?这要从它的特殊之处说起。 从诞生之日开始,特斯拉汽车就不是一家传统汽车厂商。它更像是汽车和互联网发生碰撞的产物。在此之前,几乎没有人主动研究汽车的安全性。这里面安全性并不是指驾驶安全,而是另一种安全——系统安全。因为,作为一辆真正互联网汽车,是不可能不受到黑客关注的。传统的破解特斯拉大多局限于打开车门或者后备箱,比如,在 这篇文章《他们「 黑」 进了特斯拉,然后呢?》,我们已经针对特斯拉破解做过报道。而在这次 GeekPwn 嘉年华上,他们带来的是更牛 X 的演示:远程控制汽车行驶。 整个破解过程完全夺取汽车的控制权,当一个人完全夺取汽车控制权,意味着你的生命安全也交到别人手里,这是一种很危险的行为。但是,这里需要强调的是,不像有些媒体说的那样,特斯拉汽车已经变得不安全了。当我问到此次破解特斯拉意义的时候,腾讯玄武实验室 TK 老大是这样回答我的,「 这次破解足以证明目前 Tesla 是非常安全的。Keen 想告诉大家,汽车系统安全在未来应该被广泛重视。」 目前只有 Keen 这个团队发现这个漏洞,而且即将将这个系统漏洞提交给汽车厂商进行修补,以后这种重大漏洞将越来越难查找。 当我追问破解细节的时候,TK 和其他所有 Keen 团队的人都拒绝回答这个问题。不过,他透露了一点,这辆特斯拉是之前已经被破解好了的,并非实时攻击。我大胆猜测攻击原理是这样的:在用户不知情的情况下,将某个具有通信模块的破解功能的盒子安装在车内,然后攻击者通过互联网远程实施攻击。接着通过车内系统存在漏洞完全控制汽车。 就在今天,特斯拉中国已经针对此次破解发出了一个官方声明,着重强调其安全性。其实特斯拉也完全不必担心,由著名的黑客公主 Kristin Panet 操刀的安全系统,是没那么容易出现漏洞的。而在 Keen 团队看来:「 未知攻,焉知防?」 所以,破解特斯拉目的是让它在原有的基础上更加安全,绝非用来恐吓用户。 题外话 当我第一眼见到 Keen 的创始人大牛蛙的时候,并没有立刻把认他出来,而且我还傻傻的问他是谁。他用疲惫的声音回答了我三个字「 主办方」,然后就起身接着布置场地去了。后来听别人说,在这次嘉年华活动前他一整晚都没有休息。同时作为本次活动主持人,他认为这次辛苦是值得并有意义的。这次活动也没有让他失望,在未来将有更多的人才被挖掘出来,活跃在世界各大黑客比赛上。