2022特斯拉安全漏洞

特斯拉安全漏洞一、安全研究背景車聯網安全研究背景智能網聯汽車將成為汽車行業(yè)的核心重點 大量新技術和網聯功能引入，帶來信息安全機遇“網聯”汽車：具有互聯網接入功能的汽車，具備車載系統(tǒng)和車云之間的數據同步功能，以及面向用戶的互聯網訪問服務功能。大規(guī)模上市期：2017-2020“智能”汽車：具有自動駕駛或者無人駕車內用戶場景發(fā)生劇烈改變。大規(guī)模上市期：2020-2025行業(yè)領軍品牌

環(huán)境感知層數據采集層信息融合層行人障礙物識別、車輛識別、場景重構、精準定位等智能決策層路徑規(guī)劃、人機共駕等控制執(zhí)行層自動駕駛、無人駕駛、軌跡跟蹤、轉向制動、耦合動力學全狀態(tài)參數識別等安全體系功能安全（FunctionalSafety)和信息安全（CyberSecurity)已經在2016年實現自動駕駛，并計劃在2020年實現量產全無人駕駛車。

特斯拉：“網聯”汽車領域的行業(yè)標桿，并已經在2016年在量產車上實現輔助駕駛功能。

智能控制系統(tǒng)架構通訊架構和控制架構整車集成與標定整車硬件集成（底盤、車身、電機、電池系統(tǒng)等）和智能控制系統(tǒng)集成測試模塊性能測試（測試機理）和整車功能測試（測試方法）摘自：上海市政府汽車行業(yè)規(guī)劃發(fā)展內部報告車聯網安全市場前景“Whilethosetypesofvehiclesareonlybecomingmoreprominent—ReuterssharesdatafrommarketresearcherIDATEshowingthatthenumberofconnectedcarsontheroadhasrisen57percentannuallysince2013andthatthetotalnumberisexpectedtoreach420millionby2018—keepingthemsafefromhackersisbecomingabigbusiness.”“Weviewthisasapotential$10billionmarketopportunityoverthenextfiveyears,”ReutersquotesDanielIves,ananalystwithFBRCapitalMarketsinNewYork,asstating.”“TheReutersstoryaddsthatHarmanInternationalIndustries,amakerofconnectedcarsystems,boughtIsraeli-foundedcyberdefensestartupforthepurposeofprotectingitsandthatglobaltechcompanies,likeIBMandCISCO,alsoemployingtheirteamsinIsraeltoworkonthesecurityofconnectedcars.”-2016/1/12國際和國內安全行業(yè)：網聯汽車安全研究成為新熱點2015年7月，黑客可以通過遠程方式入侵克萊斯勒自由光JEEP并對行車和車身進行遠程控制，其中涉及了多個TSP模塊、互聯網通訊模塊、車機模塊中多個安全漏洞。影響：克萊斯勒召回北美地區(qū)140萬輛自由光2015年7月，黑客實現對美國通用OnStar移動APP的劫持，可以遠程控制車門開關、發(fā)動機啟動和鳴號。主要涉及移動APP模塊和TSP模塊的安全漏洞。影響：通用緊急修復相關漏洞2016年2月，黑客實現對尼桑EVLEAF移動APP的劫持，可以遠程控模塊和TSP影響：尼桑臨時關閉LEAF云端服務二、汽車安全基礎與工具汽車安全研究基礎《CarHackersHandbook》/handbook/《ExposingtheandRisksofHigh》Behind-the-Wheel_Car-Hacking2.pdf《ASurveyofRemoteAutomotiveAttackSurfaces》/remote%20attack%20surfaces.pdf《AdventuresinAutomotiveNetworksandControlUnits》e_Networks_and_Control_Units.pdf汽車安全測試工具NmapCANalyzerBinwalkIDA汽車安全測試工具NmapCANalyzerBinwalkIDA汽車安全測試工具NmapCANalystBinwalkIDA汽車安全測試工具NmapCANalyzerBinwalkIDA汽車安全測試工具NmapCANalyzerBinwalkIDA三、特斯拉系統(tǒng)架構特斯拉系統(tǒng)概覽ICInstrumentCluster3Linux01CIDCenterInformationDisplay4Linux00GatewayGateway02特斯拉系統(tǒng)架構OTAUpdateService(VPN)OtherServicesMediaPlayerWebkitBrowserABS ESP ...OTAUpdateService(VPN)OtherServicesMediaPlayerWebkitBrowserARMv7ARMv7(RTOS)GatewayEthernetRadioWiFi(Linux)(RTOS)GatewayEthernetRadioWiFi(Linux)CellularCellular

UbuntuOSCANUbuntuOS

CHCANBusBodyCANBusDDM PDM C

...In-VehicleNetworkBDYPTOBDIIBDYPTOBDIIETHChannelIC00shelltaskdiagtaskcanethtaskethtasktasksetc.CID01SwitchDIAG02TCP/IPStackCANDriverFreescaleMPC5668GCANChannelsCANChannelsBDYTrunkDoorSunroof…PTVehicleSpeedEngineSpeed…BFTCHASSISOBDII四、特斯拉網關安全研究汽車網關車載多路CAN總線之間進行數據轉發(fā)。關還負責以太網與CAN總線之間的數據過濾與轉發(fā)。典型案例吉普自由光(NECV850)特斯拉(FreescaleMPC5668G)本土車企(NEC78K0R)BDYPTOBDIIBDYPTOBDIIETHChannelIC00shelltaskdiagtaskcanethtaskethtasktasksetc.CID01SwitchDIAG02TCP/IPStackCANDriverFreescaleMPC5668GCANChannelsCANChannelsBDYTrunkDoorSunroof…PTVehicleSpeedEngineSpeed…BFTCHASSISOBDII硬件特性5xxx-32-bit-mcus/mpc56xx-mcus/ultra-reliable-mpc5668g-mcu-for-automotive-industrial-gateway-applications:MPC5668G硬件與固件特性硬件與固件特性系統(tǒng)內存布局AddressRegionNameTeslaSpecificsStartEnd0x000000000x00020000FLASHBootloaderandInternalFiles0x000200000x001FFFFFFLASH2CODERegionDATARegion0x400000000x400FFFFFSRAMUpdaterSystemwheninProgrammingMode寄存器內存布局/files/32bit/doc/ref_manual/MPC5668xRM.pdf,AppendixA-MemoryMap,Page1242FreeRTOS“TmrSvc”是定位FreeRTOS的關鍵.FreeRTOS概覽 供任務管理調度模塊。Queues隊列是息機制以及任務與中斷的消息傳遞。etc./RTOS.htmlFreeRTOS概覽portBASE_TYPExTaskCreate(pdTASK_CODEpvTaskCode,constchar*constpcName,unsignedshortusStackDepth,void*pvParameters,unsignedportBASE_TYPEuxPriority,xTaskHandle*pvCreatedTask);pvTaskCodePointertothetaskentryfunction.pcNameAdescriptivenameforthetask.usStackDepthThesizeofthetaskstackspecifiedasthenumberofvariablesthestackcanhold-notthenumberofbytes.pvParametersPointerthatwillbeusedastheparameterforthetaskbeingcreated.uxPriorityThepriorityatwhichthetaskshouldrun.pvCreatedTaskUsedtopassbackahandlebywhichthecreatedtaskcanbereferenced.FreeRTOS概覽遞，還可用于實現信號量和互斥量等信號傳遞。特斯拉網關的FreeRTOSQ TU AE SU KE網絡協議棧與文件系統(tǒng)可以成功識別各接口函數socketlistensendrecvsendtorecvfrometc.fopenfreadfwritefcloseetc.具體對應的項目有待確認TCP/IPstack/projects/lwip/Filesystem/fsw/ff/00index_e.html逆向工程字符串對齊逆向工程函數體識別逆向工程函數表識別逆向工程#!/usr/bin/envpythonimportidautilsdefflash_ram_memcpy(frmea,toea,count,itemsize):datalist=idautils.GetDataList(frmea,count,itemsize)idautils.PutDataList(toea,datalist,itemsize)flash_ram_memcpy(0x10C004,0x4004B4F0,(0x40065064-0x4004B4F0)/4,4)特斯拉網關開放端口TCP231050UDP35002100038001Shelltcp:02:23由創(chuàng)建開啟shellShelltcp:02:23Shell密碼靜態(tài)密碼：1q3e5t7uShelltcp:02:23成功登錄Shelltcp:02:23系統(tǒng)命令控制命令狀態(tài)命令exitresetsdflushinfomkdirformatsddbgrailscphubdbgrtccatexmiireadmvicdbgtimersrmclearlogsdbgsleepdatetegraresethwidlstegrauptimehelprebootstatuschkdskdbglogShelltcp:02:23tegra命令診斷端口udp:02:3500由創(chuàng)建CID發(fā)送：1字節(jié)命令ID,0~28字節(jié)參數Gateway返回：1字節(jié)命令ID,及N字節(jié)結果診斷端口udp:02:3500功能列表:0x8REBOOT_FOR_UPDATE更新gatewayCID發(fā)送：00000000 086e6f626f6f742e696d67 0000000b0x04INJECT_CAN0x04INJECT_CAN:如何開后備箱？structDiag_CAN_Msg{CHARdiag_id; //INJECT_CAN==0x04CHARchannel; //CANChannelID,{0-6}WORDcan_id;//CANMsgIDDWORDmsg1;//MessagesDWORDmsg2;};#!/bin/shprintf"\x04\x01\x02\x48\x04\x00\x00\x04\x00\xFF\xFF\x00"|socat-udp:gw:3500演示五、安全研究總結特斯拉攻擊鏈披露CIDECUs

1.Getcontrolof3G/WiFi8.ControlECUstoperformsomedangerousphysicalactions

2.ExploitWebkitBrowserAndexecutecommandonSystem7.SendmaliciousCANmessagestoCANBus

3.RoottheUbuntusystemReflashmodifiedGatewayfirmware

PatchandDisableAppArmorBypassECU'sfirmwareintegrityverificationTeslavsJeepCellular/Wifi3G:通過釣魚網頁等的配合發(fā)起攻擊。Cellular/WifiWi-Fi:配合瀏覽器特性可以達到無交互入侵。

汽車網絡未做隔離，導致通過運營商網絡可以接觸汽車。CellularBrowserCellularLinuxKernelGatewayCAN

出色的調試技巧外加多個漏洞配合，達到瀏覽器任意代碼執(zhí)行。ROOT團隊技術積累帶來的成功內核提權漏洞。多個環(huán)節(jié)的完整性校驗繞過，最終實現刷入自定義固件。實現任意CAN總線發(fā)任意CAN消息。最終攻擊效果達成。

繞過完整性校驗實現刷入自定義固件。實現任意CAN總線發(fā)任意CAN消息。最終攻擊效果達成。

D-BusServiceQNXGatewayCAN特斯拉：多個漏洞的復雜攻擊鏈。

JEEP：漏洞+運營商策略配合。特斯拉安全研究總結汽車移動APP汽車移動APP安全TSP云服務安全（Web、數據庫）云、移動、車互聯通信安全無線和近場通信安全車載嵌入式系統(tǒng)應用安全車載嵌入式操作系統(tǒng)安全車載嵌入式芯片安全車電網絡安全難度遠遠大于單一模塊攻防，汽車安全任重而道遠。代碼安全分析:NativecodereviewWebcode代碼安全分析:NativecodereviewWebcodereview協同實施安全開發(fā)最佳實踐:SecureCodingBestPracticesSecurityRequirements/StandardstoTie-1Providers安全能