日本无码免费高清在线|成人日本在线观看高清|A级片免费视频操逼欧美|全裸美女搞黄色大片网站|免费成人a片视频|久久无码福利成人激情久久|国产视频一二国产在线v|av女主播在线观看|五月激情影音先锋|亚洲一区天堂av

  • 手機(jī)站
  • 小程序

    汽車測試網(wǎng)

  • 公眾號

    • 汽車測試網(wǎng)

    • 在線課堂

    • 電車測試

汽車安全測試Checklist

2020-07-13 21:31:30·  來源:水滴安全實(shí)驗(yàn)室  作者:喵神&圖圖  
 
速度與激情里被黑客遠(yuǎn)程操控所有汽車的自動駕駛系統(tǒng)與車聯(lián)網(wǎng)智能終端,這種情況真的會存在嗎?隨著5G技術(shù)的商用,車聯(lián)網(wǎng)智能化和網(wǎng)聯(lián)化進(jìn)程的不斷推進(jìn),Jeep Ucon
速度與激情里被黑客遠(yuǎn)程操控所有汽車的自動駕駛系統(tǒng)與車聯(lián)網(wǎng)智能終端,這種情況真的會存在嗎?
 
隨著5G技術(shù)的商用,車聯(lián)網(wǎng)智能化和網(wǎng)聯(lián)化進(jìn)程的不斷推進(jìn),Jeep Uconnect,寶馬ConnectedDrive等高危漏洞的不斷出現(xiàn),用戶生命財(cái)產(chǎn)安全受到威脅,智能網(wǎng)聯(lián)汽車安全已成為關(guān)系到車聯(lián)網(wǎng)能否快速發(fā)展的重要因素。
    
下面,讓我們梳理一下汽車安全滲透測試的攻擊面。
 
一、汽車的攻擊面
1. 物理訪問
1.1 OBD在線診斷接口(On Board Diagnostic interface)
OBD車載診斷系統(tǒng)(圖1-1)也稱為診斷鏈接連接器(DLC),一般位于車輛離合踏板和方向盤之間的隱蔽位置,OBD作為汽車的對外接口,可以訪問CANBus,因此通過專門的控制設(shè)備接入OBD端口,就可實(shí)現(xiàn)對車輛控制,甚至能修改一些行車電腦配置。
通過OBD接口可以讀取汽車的運(yùn)行狀態(tài)數(shù)據(jù),進(jìn)行主動測試(控制噴油器或者點(diǎn)火器)等功能,通過這個(gè)接口可以直接訪問汽車的CAN總線進(jìn)而完全控制汽車的物理功能。
 
圖1-1通用汽車的完整OBD引腳連接
利用OBD接口接入CAN分析儀連接分析報(bào)文數(shù)據(jù)。
CAN總線分為:節(jié)點(diǎn)、ID、報(bào)文、仲裁
CAN-Bus通信幀協(xié)議共有五種類型分別為:數(shù)據(jù)幀、遙控幀、錯(cuò)誤幀、過載幀和間隔幀。
數(shù)據(jù)幀:
幀起始、仲裁段、控制端、數(shù)據(jù)段、CRC段、ACK段、幀結(jié)束、表示一幀的開始,是由1bit的顯性位組成。
(1) 幀起始:
    表示幀的開始,由單個(gè)顯性位組成,總線空閑時(shí),發(fā)送節(jié)點(diǎn)發(fā)送幀起始,其他接收節(jié)點(diǎn)同步于該幀起始位。
 
圖1-2 CAN報(bào)文詳解
(2)仲裁段:
   CAN-Bus沒有規(guī)定節(jié)點(diǎn)的優(yōu)先級,但通過仲裁段幀ID規(guī)定了數(shù)據(jù)幀的優(yōu)先級,幀的ID值越小,優(yōu)先級越高。CAN2.0標(biāo)準(zhǔn)版本不同,幀ID分為11位和29位兩種。
(3)控制段:
    分為標(biāo)準(zhǔn)格式由(IDE、r0、DLC)組成和擴(kuò)展幀(r1、r0、DLC)組成
(4)數(shù)據(jù)段
    由0到8個(gè)字節(jié)組成,用于負(fù)載傳輸?shù)臄?shù)據(jù),數(shù)據(jù)輸出開始于MSB。
(5)CRC段
    由15bit CRC Sequence和1bit CRC Delimiter組成,用來檢查幀的數(shù)據(jù)是否存在錯(cuò)誤,CRC校驗(yàn)值存放在CRC段,由15位CRC值和1位CRC界定符構(gòu)成
CRC Sequence:CRC序列,計(jì)算范圍是SOF,仲裁域,控制域和數(shù)據(jù)域。
CRC Delimiter:CRC界定符,是一個(gè)常態(tài)隱性位。
(6)ACK段
   ACK(應(yīng)答場)長度為2 個(gè)bit。包括ACK Slot和ACK Delimiter。ACK Slot:應(yīng)答間隙,發(fā)送節(jié)點(diǎn)送數(shù)據(jù)時(shí),會將ACK Slot及ACK Delimiter全部置為隱性,接收節(jié)點(diǎn)計(jì)算CRC Sequence正確無誤后,會在ACK Slot期間向發(fā)送方發(fā)送一個(gè)顯性位以示應(yīng)答。ACK Delimiter:ACK界定符,是一個(gè)常態(tài)隱性位。
(7)幀結(jié)束
    表示幀的結(jié)束,由7個(gè)連續(xù)的隱形位組成。
遙控幀:
用于接收到單元向具有相同ID的發(fā)送的單元請求數(shù)據(jù)的幀。ID:被請求發(fā)送節(jié)點(diǎn)的ID。SRR:1(隱性電平)。RTR:1(隱性電平)。DLC:請求的數(shù)據(jù)長度,沒有數(shù)據(jù)段,CRC的校驗(yàn)范圍是:幀起始+仲裁段+控制段
錯(cuò)誤幀:
用于當(dāng)檢測出錯(cuò)誤時(shí)想其他單元通知錯(cuò)誤的幀分別共有五種錯(cuò)誤類型。
(1)CRC錯(cuò)誤 發(fā)送節(jié)點(diǎn)計(jì)算的CRC值與接收到的CRC值不同時(shí)發(fā)送該錯(cuò)誤。
(2)格式錯(cuò)誤 傳輸?shù)臄?shù)據(jù)幀格式與任何一種合法的幀格式不符時(shí)發(fā)生該錯(cuò)誤。
(3)應(yīng)答錯(cuò)誤 發(fā)送節(jié)點(diǎn)在ACK階段沒有接收到應(yīng)答信號時(shí)發(fā)生該錯(cuò)誤。
(4)位發(fā)送錯(cuò)誤 發(fā)送節(jié)點(diǎn)在發(fā)送時(shí)發(fā)現(xiàn)總線電平與發(fā)送電平不相同時(shí)發(fā)生該
錯(cuò)誤。
(5)位填充錯(cuò)誤 通信線纜上傳輸信號違反“位填充”規(guī)則時(shí)發(fā)生該錯(cuò)誤。
過載幀: 
    用于接收單元通知其他尚未做好準(zhǔn)備的幀,當(dāng)某個(gè)接收節(jié)點(diǎn)沒有做好接收下一幀數(shù)據(jù)的準(zhǔn)備時(shí),將發(fā)送過載幀以通知發(fā)送節(jié)點(diǎn),過載幀由過載標(biāo)志和過載幀界定符組成,存在多個(gè)節(jié)點(diǎn)同時(shí)過載且過載幀發(fā)送有時(shí)間差問題,可能出現(xiàn)過載標(biāo)志疊加后超過6個(gè)位的現(xiàn)象。
間隔幀:
用于將數(shù)據(jù)幀和遙控幀與前面的幀分離開來的幀,但過載幀和錯(cuò)誤幀前面不會插入幀間隔。
 
圖1-3 CAN-Bus鏈路層處理數(shù)據(jù)流程
那么接入CAN我們可以做什么?
    嗅探CAN總線流量、發(fā)送CAN消息、重放CAN流量、模糊測試、
利用CAN分析儀的診斷工具可以看到車輛的發(fā)送機(jī)實(shí)際轉(zhuǎn)速、車速、蓄電池電壓、等一些信息,比如我們想欺騙轉(zhuǎn)速表,踩空擋的情況下踩下油門,讓轉(zhuǎn)速表改變數(shù)值,最后將數(shù)據(jù)重放出來,當(dāng)然也可以去嘗試打開車燈、門鎖、空調(diào)、座椅等等。
 
圖1-4 CAN分析儀
1.2 車機(jī)娛樂系統(tǒng)
    汽車娛樂系統(tǒng)一般采用Linux或基于Linux的Android操作系統(tǒng),車機(jī)娛樂系統(tǒng)會與光盤、USB接口、手機(jī)、耳機(jī)進(jìn)行交互。娛樂系統(tǒng)與CAN總線相連,車載多媒體系統(tǒng)顯示汽車參數(shù)(車輛健康度,胎壓,電動汽車剩余電量等)。娛樂系統(tǒng)作為用戶安裝更新系統(tǒng)的入口,可以下發(fā)升級汽車ECU的固件等。
1.3 主控面板
    汽車的主控面板一般是智能汽車的網(wǎng)關(guān)系統(tǒng),可以拆解查看是否存在ttl to usb接口,系統(tǒng)一般基于Linux。通過串口工具接入,可以進(jìn)行測試。
2. 短距離無線攻擊面
    短距離向量包括藍(lán)牙、車載熱點(diǎn)、Wi-Fi、無鑰匙進(jìn)入、胎壓傳感器射頻信號、RFID、專用短距離通信(DSRC)、距離傳感器、自動泊車系統(tǒng)、汽車與基站的GPRS、3G、4G、5G通信。
2.1 藍(lán)牙
    手機(jī)通過藍(lán)牙連接汽車,將通話通過揚(yáng)聲器輸出,傳輸多媒體等,傳輸距離一般為10米。
    藍(lán)牙攻擊的方案
2.1.1 藍(lán)牙漏洞攻擊(Bluesnarfing)
   Bluesnarfing讓攻擊者能夠利用舊設(shè)備的固件漏洞來訪問開啟藍(lán)牙功能的設(shè)備。這種攻擊強(qiáng)制建立了一個(gè)到藍(lán)牙設(shè)備的連接,并允許訪問儲存在設(shè)備上的數(shù)據(jù),包括設(shè)備的國際移動設(shè)備身份碼(IMEI)。IMEI是每個(gè)設(shè)備的唯一身份標(biāo)識,攻擊者有可能使用它來把所有來電從用戶設(shè)備路由到攻擊者的設(shè)備。
2.1.2 藍(lán)牙劫持(Bluejacking)
   Bluejacking是一種在開啟藍(lán)牙功能的設(shè)備上實(shí)施的攻擊,例如對手機(jī)的攻擊。攻擊者通過發(fā)送未經(jīng)請求的消息給開啟藍(lán)牙功能的設(shè)備用戶來發(fā)起B(yǎng)luejacking。實(shí)際的消息不會對用戶的設(shè)備造成損害,但是它們可以誘使用戶以某種方式做出響應(yīng)或添加新聯(lián)系人到設(shè)備的地址薄。這種消息發(fā)送攻擊類似于對電子郵件用戶進(jìn)行垃圾郵件和網(wǎng)絡(luò)釣魚攻擊。當(dāng)用戶對包含有害目的之bluejacking消息發(fā)起了一個(gè)響應(yīng),則Bluejacking能夠造成危害。
2.1.3 藍(lán)牙竊聽(Bluebugging)
   Bluebugging利用一個(gè)在一些較老設(shè)備固件上存在的漏洞來獲取設(shè)備和其命令的訪問權(quán)限。這種攻擊無需通知用戶就使用設(shè)備的命名,從而讓攻擊者可以訪問數(shù)據(jù)、撥打電話、竊聽通話、發(fā)送信息和利用設(shè)備提供的其他服務(wù)與功能。
2.1.4  汽車偷聽(Car Whisperer)
   Car Whisperer是由歐洲安全研究人員開發(fā)的一種軟件工具,它利用了在汽車藍(lán)牙免提車載套件中一個(gè)實(shí)現(xiàn)上的關(guān)鍵問題。Car Whisperer軟件讓攻擊者能發(fā)送音頻到或接收音頻自車載套件。攻擊者可以將音頻發(fā)送到汽車的喇叭或從車內(nèi)麥克風(fēng)接收(竊聽)音頻。
2.1.5 拒絕服務(wù)(Denial of Service)
    像其他無線技術(shù)一樣,藍(lán)牙也容易受到DoS攻擊。影響包括讓設(shè)備的藍(lán)牙接口無法使用和耗盡設(shè)備電池。這些類型的攻擊效果并不顯著,而且因?yàn)樾枰咏拍苁褂盟{(lán)牙,所以通??梢院苋菀椎赝ㄟ^簡單的移動到有效范圍之外來避免。
2.1.6 模糊測試攻擊(Fuzzing Attacks)
    藍(lán)牙fuzzing attacks包括發(fā)送格式錯(cuò)誤或其他非標(biāo)準(zhǔn)的數(shù)據(jù)給設(shè)備的藍(lán)牙射頻接口和觀察設(shè)備如何反應(yīng)的。如果一個(gè)設(shè)備的運(yùn)作被這些攻擊減慢或停止,一個(gè)嚴(yán)重的漏洞可能存在于協(xié)議棧之中。
2.1.7 配對竊聽(Pairing Eavesdropping)
   PIN碼/傳統(tǒng)配對(藍(lán)牙2.0及更早版本)和LE配對(藍(lán)牙4.0)都易受到竊聽攻擊。如果給予足夠的時(shí)間,成功的竊聽者會收集所有的配對幀,然后他/她能夠確定這個(gè)(些)機(jī)密的密鑰——它允許受信設(shè)備模擬和主動/被動數(shù)據(jù)解密。
2.1.8 安全簡單配對攻擊(Secure Simple Pairing Attacks)
    許多技術(shù)可以強(qiáng)制遠(yuǎn)程設(shè)備使用立即工作SSP,然后利用其缺乏MITM保護(hù)的特性(例如,攻擊設(shè)備聲稱它沒有輸入/輸出功能)。此外,固定萬能鑰匙也可能讓攻擊者進(jìn)行MITM攻擊。
    當(dāng)然也可以嘗試接入藍(lán)牙無線鍵鼠設(shè)備是否能操控車載娛樂系統(tǒng),是否能執(zhí)行一些操作。
2.2 車載熱點(diǎn)和Wi-Fi
    智能汽車的配備有物聯(lián)網(wǎng)卡,通過娛樂系統(tǒng)的屏幕可以像操作手機(jī)一樣開啟熱點(diǎn)。
    車載系統(tǒng)具有無線網(wǎng)卡,用戶可以自己建立Wi-Fi配置娛樂系統(tǒng)接入無線網(wǎng)絡(luò)。
    車載熱點(diǎn)和WiFI實(shí)現(xiàn)的都是讓攻擊者和車輛處于同一網(wǎng)絡(luò)環(huán)境中,我們可以同arp欺騙進(jìn)行攻擊。
    使用ettercap進(jìn)行arp欺騙,通過wireshark抓取車輛通信流量。
 
圖2-1 Arp欺騙嗅探流量
監(jiān)聽車輛與外界的通信流量,可以在車輛云端下發(fā)車輛新版本固件時(shí)捕獲進(jìn)行進(jìn)一步分析。
2.3 無鑰匙進(jìn)入
無鑰匙進(jìn)入系統(tǒng)(Keyless Entry)是指無需使用機(jī)械鑰匙即可進(jìn)行開啟車門進(jìn)行點(diǎn)火。
當(dāng)駕駛員通過按鈕或者觸摸感應(yīng)器觸發(fā)系統(tǒng)后,汽車向鑰匙發(fā)送一個(gè)隨機(jī)信號,鑰匙接收到信號利用加密算法生成一個(gè)結(jié)果信號,汽車接收這個(gè)信號并驗(yàn)證是否合法,執(zhí)行相應(yīng)的操作,列如解鎖或開啟車輛。
無鑰匙進(jìn)入系統(tǒng)類別
(1)單向RKE:需要手動按下按鈕才能執(zhí)行操作,車輛接收到該信號并認(rèn)為是否合法,然后執(zhí)行相應(yīng)的操作,對于滾動碼系統(tǒng),安裝在車輛和密鑰卡中的加密安全偽隨機(jī)數(shù)生成器(PRNG)用于在按鍵后更改加密密鑰,通常使用緩沖區(qū)來解決意外超出范圍問題按下按鈕(誤觸操作),單向RKE是最簡單最常見的無鑰匙進(jìn)入系統(tǒng)的形式。
(2)雙向RKE要求車輛發(fā)出信號,才能使鑰匙扣做出相應(yīng)以達(dá)到解鎖操作。
(3)被動RKE簡稱(PKE)會在一定半徑內(nèi)或用戶觸摸門把手后自動解鎖;通常與按鈕點(diǎn)火開關(guān)配對。
關(guān)于無鑰匙進(jìn)入安全研究
需要用到全雙工的SDR   設(shè)備去產(chǎn)生干擾信號,以阻塞汽車和鑰匙接收到正確的信號,干擾的信號頻寬會更寬,并且存儲信號以備后續(xù)使用,當(dāng)用戶再次按下按鈕時(shí),設(shè)備會捕獲第二個(gè)信號并且發(fā)送第一個(gè)信號,車輛就會正常執(zhí)行操作,但是其中一次的信號已經(jīng)被捕獲到了。
 
圖2-2 樹莓派搭建的無鑰匙進(jìn)入檢測設(shè)備
2.4 胎壓管理系統(tǒng)TPMS
汽車輪胎的胎壓傳感器將采集到的胎壓數(shù)據(jù)通過短距離無線通信傳遞給管理模塊,在胎壓過低時(shí)發(fā)出告警信息,TPMS的工作頻率在315Mhz/433Mhz,
胎壓傳感器并不是經(jīng)常發(fā)送無線數(shù)據(jù),一般出現(xiàn)在安裝和卸下傳感器的時(shí)候會發(fā)送此類數(shù)據(jù),要么就等待傳感器下一次發(fā)送次信號進(jìn)行捕獲,可測試此信號是否被加密,進(jìn)行偽造攻擊,接收端的ECU在解析代碼時(shí)也會出現(xiàn)問題。
 
圖2-3 胎壓傳感器信號組成
胎壓傳感器信號分為:前導(dǎo)碼、同步碼、ID識別碼、電壓、壓力、溫度、氣閥、CRC16、停止碼。
只要修改數(shù)值過高或者過低即可觸發(fā)警報(bào),導(dǎo)致車輛報(bào)警。
2.5 RFID
汽車鑰匙中嵌入一個(gè)RFID,汽車安裝RFID天線,當(dāng)駕駛員靠近汽車或者進(jìn)入車輛后,RFID會與ECU進(jìn)行相互認(rèn)證,Hitag采用48位密碼是一種被廣泛使用的被動RFID。
2.6 V2X車聯(lián)網(wǎng)通信
可分為三大類:V2V(Vehicle to Vehicle),V2I(Vehicle to Infrastructure)和V2P(Vehicle to Pedestrian)。運(yùn)輸實(shí)體,如車輛、路測基礎(chǔ)設(shè)施和行人,可以收集處理當(dāng)?shù)丨h(huán)境的信息(如從其他車輛或傳感器設(shè)備接收到的信息),以提供更多的智能服務(wù),如碰撞警告或自主駕駛。
V2X通信通信技術(shù)目前有DSRC與LTE-V2X兩條路線。
DSRC以IEEE802.11p為基礎(chǔ)的標(biāo)準(zhǔn),使用5.85GHz~5.925GHz的V2V/V2I保留頻段內(nèi)的75MHz頻譜。DSRC設(shè)備的有效通信距離有其使用的發(fā)射功率決定。路旁設(shè)備能以更高的功率范圍發(fā)射,指標(biāo)最高可達(dá)1000米;而車輛只能使用較低發(fā)射功率,因此其通信距離較低,只有300米。
 
圖2-4 DSRC技術(shù)示意圖
LTE-V(Long Team Evolution-Vehicle)是一種基于TD-LTE技術(shù)的V2V解決方案,LTE-V是基于4G LTE系統(tǒng)的演進(jìn)技術(shù),包括LTE-V-Cell和LTE-V-Direct兩個(gè)工作模式。LTE-V-Cell要借助已有的蜂窩網(wǎng)絡(luò),支持大帶寬、大覆蓋通信,滿足Telematics應(yīng)用需求;LTE-V-Direct可以獨(dú)立于蜂窩網(wǎng)絡(luò),實(shí)現(xiàn)車輛與周邊環(huán)境節(jié)點(diǎn)低延時(shí)、高可靠的直接通信,滿足行車安全需求。
 
圖2-5 LTE-V技術(shù)示意圖
測試者可以通過購買具備DSRC功能的設(shè)備,或者使用軟件定義的無線電(SDR,Software Defined Radio),制作自己的DSRC接收器,可以在接收器的有效距離內(nèi)接收車輛的相關(guān)信息,如尺寸、位置、速度、方向以及最近300米內(nèi)的行車路徑,可以根據(jù)這些信息追蹤目標(biāo)車輛。
假設(shè)攻擊者獲取到目標(biāo)車輛的制造商和型號以及 ,我們就可以在目標(biāo)人物家的附近防放置DSRC的接收器,遠(yuǎn)程檢測目標(biāo)車輛何時(shí)駛出DSRC接收器的范圍,攻擊者可以持續(xù)追蹤和識別車輛的活動。
V2V和V2I系統(tǒng)的安全數(shù)據(jù)傳輸依賴于PKI和CA,可以嘗試證書劫持攻擊,中間竊取車輛的短距離通信信息。
2.7 汽車與基站的GPR S、3G、4G、5G通信
智能汽車使用物聯(lián)網(wǎng)卡與車輛附近的運(yùn)營商基站進(jìn)行通信,連接互聯(lián)網(wǎng),可以通過openbts、openbsc、yatebts等一些程序進(jìn)行基站模擬,截取通信流量,偽造數(shù)據(jù)包,重放攻擊,比如請求的網(wǎng)站信息,一些車聯(lián)網(wǎng)平臺,再對這些平臺進(jìn)行滲透測試,或者請求的參數(shù)進(jìn)行中間人攻擊修改嘗試是否可以對車輛進(jìn)行干擾或修改數(shù)據(jù)。
 
圖2-5 openbts環(huán)境搭建
啟動asterisk、sipauthserver、smqueue、openbts、還有openbts的控制臺OpenBTSCLI進(jìn)行管理配置。
在OpenBTSCLI里修改增益(默認(rèn)最低為25)
OpenBTS> devconfig GSM.Radio.RxGain 25
修改GSM頻段
OpenBTS> config GSM.Radio.Band 900
修改ARFCN參數(shù)
OpenBTS> config GSM.Radio.C0 118
啟用GPRS
OpenBTS> config GPRS.Enable 1
在這里設(shè)備請求的網(wǎng)絡(luò)是通過sgsntun這個(gè)虛擬網(wǎng)卡進(jìn)行通訊,所以要去配置好iptables的轉(zhuǎn)發(fā)規(guī)則,這樣接入的設(shè)備就可以通過你轉(zhuǎn)發(fā)的規(guī)則用GPRS來進(jìn)行上網(wǎng)了。
查詢設(shè)備接入情況
OpenBTS> tmsis
就可以查看到
 
圖2-6 查看接入的設(shè)備
在這里基站搭建配置就不做多的說明了。
3. 遠(yuǎn)距離無線攻擊面
GPS、衛(wèi)星接收機(jī)、數(shù)字廣播接收機(jī)等公用通信鏈路,蜂窩網(wǎng)、遠(yuǎn)程協(xié)助系統(tǒng)、遠(yuǎn)程控制系統(tǒng),汽車廠商專用的車聯(lián)網(wǎng)平臺,云端服務(wù)器。這些遠(yuǎn)距離攻擊向量是最大的威脅,因?yàn)楹诳涂梢栽谌魏蔚胤桨l(fā)起攻擊。
 
圖3-1 車聯(lián)網(wǎng)管理平臺
 
圖3-2 車聯(lián)網(wǎng)管理平臺
二、一次真實(shí)的汽車安全測試
近期研究人員對一款智能汽車進(jìn)行測試時(shí),有一些測試點(diǎn)和大家分享一下。
我們首先對該車輛的主控面板進(jìn)行拆解,可以通過usb to ttl接入Gnd、Tx、Rx串口調(diào)節(jié)為115200波特率,直連,可以進(jìn)入一個(gè)網(wǎng)關(guān)設(shè)備的ssh登陸入口,密碼猜解不到,使用GRUB的方式更改密碼。
 
圖1 TTL串口接入網(wǎng)關(guān)
    在開機(jī)過程中長按shift或者esc進(jìn)入系統(tǒng)GRUB界面:
 
    進(jìn)入Advanced options for Ubuntu選項(xiàng)
 
    選中Ubuntu, with Linux 5.0.0-32-generic (recovery mode),按e進(jìn)入:
 
    將上圖中的ro recovery nomodeset改為quiet splash rw init=/bin/bash
 
    按F10鍵,等待幾秒鐘,進(jìn)入修改密碼。
 
  通過串口引出rj45網(wǎng)線,接入筆記本配置IP、網(wǎng)關(guān)、子網(wǎng)掩碼,可以訪問網(wǎng)關(guān)網(wǎng)絡(luò),直接tcpdump抓取流量包,分析流量日志,暴露車輛通信的云端url
 
圖2 日志云端URL
    捕獲到網(wǎng)關(guān)和MCU交互數(shù)據(jù),明文傳輸,接收方未作任何校驗(yàn),通過構(gòu)造數(shù)據(jù)包指令,可造成車輛自動泊車系統(tǒng)故障。
 
圖3 MCU通信流量
    構(gòu)造的車輛自動泊車系統(tǒng)報(bào)警POC
 
圖4 自動泊車系統(tǒng)故障POC
網(wǎng)關(guān)系統(tǒng)運(yùn)行著車輛固件,直接下載進(jìn)行分析。
 
圖5 車輛固件
網(wǎng)關(guān)系統(tǒng),是一個(gè)多網(wǎng)卡Linux,主機(jī)存活探測可發(fā)現(xiàn)T-BOX為192.168.2.16為一個(gè)SSH空密碼。
 
圖6 T-BOX主機(jī)權(quán)限
   
參考文檔:
https://blog.csdn.net/huan447882949/article/details/80042417
http://unicorn.#/hackcube/forum.php?mod=viewthread&tid=48&extra=page%3D1
https://kns.cnki.net/KCMS/detail/detail.aspx?dbcode=CJFQ&dbname=CJFDLAST2017&filename=CCGY201707011&v=MTE1NDV4WVM3RGgxVDNxVHJXTTFGckNVUkxPZVp1Wm5GeS9tVTdySUppN01kN0c0SDliTXFJOUVaWVI4ZVgxTHU=
 
 
分享到:
 
反對 0 舉報(bào) 0 收藏 0 評論 0
滬ICP備11026917號-25