小米科技高級(jí)安全專家：智能汽車Tbox安全漏洞分析

以下內(nèi)容整理自談思AutoSec 8周年年會(huì)。

分享嘉賓：小米科技高級(jí)安全專家 尹小元

嘉賓簡(jiǎn)介：小米車聯(lián)網(wǎng)安全專家，智能終端安全實(shí)驗(yàn)室負(fù)責(zé)車聯(lián)網(wǎng)安全工作，10余年安全工作經(jīng)驗(yàn)，多次參加GeekPwn和汽車安全比賽并榮獲多項(xiàng)大獎(jiǎng)。精通IOT、移動(dòng)端和車聯(lián)網(wǎng)安全。在車聯(lián)網(wǎng)安全體系建設(shè)和漏洞挖掘上有著豐富的安全經(jīng)驗(yàn)和深入的研究。

我的演講主題是《Tbox-黑客手中的潘多拉魔盒》。對(duì)我們來說，Tbox就是一個(gè)黑盒，它的功能非常強(qiáng)大，如果通過黑客的手段把Tbox變成一個(gè)灰盒或者一個(gè)白盒的話，就會(huì)給我們帶來很大風(fēng)險(xiǎn)，而且是一些可預(yù)測(cè)的風(fēng)險(xiǎn)，比如說遠(yuǎn)程控制等。

本次的主題演講主要分為三部分，一是介紹Tbox的功能點(diǎn)和風(fēng)險(xiǎn)；二是結(jié)合實(shí)際案例分析Tbox所面臨的一些威脅場(chǎng)景；三是從甲方和消費(fèi)者的視角，來探討問題的解決之道。

01 Tbox的功能點(diǎn)和風(fēng)險(xiǎn)

首先，大概介紹一下Tbox的功能。如圖1所示，這是一個(gè)比較典型的Tbox硬件設(shè)備，外觀上來看其實(shí)挺簡(jiǎn)單的，它主要會(huì)預(yù)留一些硬件的接納口。概念上的話，Tbox就是一個(gè)通信盒子，它是一個(gè)遠(yuǎn)程的通信終端，可以啟動(dòng)遠(yuǎn)程通信及網(wǎng)絡(luò)服務(wù)的一些功能。

從接口上看，它有UART、USB、JTAG、ETH、CAN等接口，這些接口提供了很好的調(diào)試作用，不過，這些接口從我們安全研究的角度來看，其實(shí)相當(dāng)危險(xiǎn)。

圖1

從模塊上看，Tbox有4G、5G模塊，以及藍(lán)牙、以太網(wǎng)、GPS 等模塊，在這些功能模塊中，我們比較關(guān)心的是具有遠(yuǎn)程控制功能的一些模塊，因?yàn)槿绻羞@些遠(yuǎn)程控制功能存在問題的話，對(duì)我們來說是很好去利用的。有了這些功能，我們才會(huì)進(jìn)一步去分析這些硬件設(shè)備。

Tbox大家都知道，但是不一定都拆過，我們團(tuán)隊(duì)在閑時(shí)對(duì)市面上比較流行的Tbox基本都拆了一遍。

如圖2所示，最左邊的是基礎(chǔ)版Tbox，像這類Tbox的功能就比較簡(jiǎn)單，大多數(shù)就是消息推送或數(shù)據(jù)上報(bào)，還有一些會(huì)有告警信息的功能。一般來說，這些功能沒有太大的安全風(fēng)險(xiǎn)，但是2020年發(fā)生過一個(gè)案例：上海某些汽車的Tbox信息系統(tǒng)里彈出了類似于“上海發(fā)生槍戰(zhàn)”的消息，造成了一定的恐慌，其實(shí)這就是Tbox被黑后造成的。還有一些Tbox比較老，里面用的是SIM卡，把SIM卡插到手機(jī)上，就可以通到汽車的內(nèi)網(wǎng)中。

圖2

圖2中間的這個(gè)就是帶有遠(yuǎn)控功能的Tbox，它做得還是比較復(fù)雜、比較大的，而且功能也比較強(qiáng)大，里面有不少業(yè)務(wù)功能。說實(shí)話，我們比較喜歡這種功能復(fù)雜、且?guī)в懈鞣N遠(yuǎn)控功能的Tbox，因?yàn)楣δ茉蕉?，出錯(cuò)的可能性就越大。最右邊這張圖是我們研究過的30多家廠商的Tbox。

圖3是Tbox的一個(gè)功能框圖。從這個(gè)框架圖來看，結(jié)構(gòu)還是比較簡(jiǎn)單的，就是5G模組、MCU、接插件和一些外圍接口組成。

圖3

這里主要從硬件和接口這兩方面做一下分析。硬件方面，我們比較關(guān)注一些遠(yuǎn)程控制的模塊，比如WiFi、藍(lán)牙、耳機(jī)等。其中，我們對(duì)藍(lán)牙研究得比較深，很多場(chǎng)合的藍(lán)牙多少都會(huì)有一些問題，攻擊者可以輕易地通過藍(lán)牙漏洞進(jìn)到車?yán)?，或者?shí)行一些遠(yuǎn)程控車。接口方面，在調(diào)試或者分析控車的一些應(yīng)用時(shí)，需要通過接口進(jìn)到車?yán)?，所以它也是非常重要的一點(diǎn)。

圖4是基于時(shí)間軸梳理的一些云管端安全案例，從這些案例中，我們可以看到，不管是油車還是電車，都面臨不少安全風(fēng)險(xiǎn)。

圖4

如圖5所示，這是我們?cè)谀澈ｕr市場(chǎng)上買的Tbox案例。拿到這種硬件設(shè)備，我們首先會(huì)分析它的供電，看看怎么讓它跑起來；然后再去研究它的激活方式，怎么把它的屏幕點(diǎn)亮；再就是通過調(diào)試口進(jìn)到系統(tǒng)內(nèi)部去，去分析一些控車的利用邏輯。有些調(diào)試口需要驗(yàn)證，所以我們要通過暗碼來打通這個(gè)鏈路，才能進(jìn)到系統(tǒng)內(nèi)部去分析。

圖5

不管拿到什么樣的Tbox，首先都是看看有沒有控車的功能，沒有控制功能的話，做再多的東西都是白費(fèi)。其實(shí)我們之前也買過一些只有簡(jiǎn)單的數(shù)據(jù)上報(bào)或者信息推送功能的Tbox，這些對(duì)安全來說，是沒什么價(jià)值的。

其次是看調(diào)試口，因?yàn)橹挥心孟履莻€(gè)調(diào)試口，才能進(jìn)到系統(tǒng)里面，去分析哪些是控車應(yīng)用，做一些工作的運(yùn)行檢查，從而減少我們很多時(shí)間。

最后一點(diǎn)就是提固件。很多時(shí)候，調(diào)試口是封閉的，或者說沒有預(yù)留調(diào)試口，我們就需要去把Tbox的UFS或者eMMC固件提取出來，再做進(jìn)一步分析。如果固件有讀寫保護(hù)的話，可以用如故障注入等一些高級(jí)的應(yīng)用方法來處理。

02 Tbox漏洞分析

介紹完Tbox，接下來就結(jié)合實(shí)際案例分析一下Tbox漏洞。

如案例1是通過邏輯分析儀找到了硬件PCB上隱藏的一個(gè)UART，通過這個(gè)UART我們可以去直接開啟adb，打開調(diào)試模式。如下圖所示，最左邊是它的網(wǎng)卡信息，右邊就是通過UART開啟調(diào)試的方法。

其他一些案例有：通過逆向app、逆向固件、復(fù)雜條件下的固件提取、提取固件逆向、逆向某證書等方式實(shí)現(xiàn)控車的案例，如：

03 安全建議

最后從廠商和消費(fèi)者兩個(gè)視角分別提一下個(gè)人安全建議。

對(duì)于廠商，我希望廠商多重視安全人才的建設(shè)，特別是在0-1和1-N階段，要注重核心人才的投入。企業(yè)的安全能力建設(shè)主要從下面四個(gè)維度介紹。

在初始階段，最主要的是安全基線，打好基線就是做好基座，要做好方案的評(píng)審，有條件的話，還要做三方滲透；在發(fā)展階段，要把安全介入到整個(gè)測(cè)試流程中去，包括開發(fā)人員也要把安全融入到開發(fā)過程中去；在穩(wěn)定階段，安全制度流程已經(jīng)建立；到了成熟階段，安全平臺(tái)做得很好，滲透一類的操作可以通過平臺(tái)去跑，安全人員只要看看日志以及平臺(tái)的一些告警就可以了。

對(duì)于消費(fèi)者而言，怎么來看自己購買的車是否安全。首先，建議買大廠的，這里要提一下，別看特斯拉是被報(bào)道過的破解最多的就以為它不安全，這是陷入了幸存者偏差的誤區(qū)，從我個(gè)人角度來看，特斯拉的安全應(yīng)該是所有車廠中做得最好的。

第二，在新勢(shì)力和老牌車廠中如何選擇？對(duì)新勢(shì)力來說，它的優(yōu)勢(shì)在于安全投入相對(duì)較高，還是建議體驗(yàn)一下；從市場(chǎng)占有率的角度來說，占有率大的車廠，它有一定的存量市場(chǎng)，有持續(xù)的造血能力，它肯定在安全方面有一定投入，所以建議在大的廠商里去選擇。

第三，你要是實(shí)在不放心，就買傳統(tǒng)車，買那些沒有TBOX和IVI等設(shè)備的老爺車；最后一點(diǎn)，就是國內(nèi)的環(huán)境相對(duì)來說還是很好的，不像國外有很多的偷車或盜車的場(chǎng)景，國內(nèi)的話，安全圈其實(shí)很小，特別是汽車安全圈，一般不會(huì)有大規(guī)模的漏洞泄露的情況。

尹小元的完整演講PPT，可關(guān)注“談思汽車”公眾號(hào)，后臺(tái)回復(fù)“小米尹小元”，獲取PPT下載鏈接。

- THE END -

審核編輯 黃宇