穿雲撥霧：對特斯拉汽車網關、車身控制模塊以及輔助駕駛ECU的滲透測試

最新 08-11

議題概要

背景介紹：OTA（Over-The-Air）是汽車行業智能網聯變革的核心能力之一。本次Black Hat USA 2018上，騰訊科恩實驗室帶來了2017年對特斯拉具備的先進OTA功能相關的安全研究成果。本成果對於促進汽車行業安全穩定落地智能網聯化具有重大積極作用，同時本次議題也是全球首次涉及對汽車先進駕駛輔助系統（ADAS，特斯拉相關係統名為：Autopolit）的信息安全研究成果披露。更多詳細信息請關注騰訊科恩實驗室官方微信號：KeenSecurityLab，並回復「車聯網安全」即可獲得此次研究技術細節白皮書。

騰訊科恩實驗室在2016年和2017年，在避免物理接觸汽車的遠程攻擊場景下，連續兩年針對特斯拉Model S和Model X進行了攻擊測試。在去年舉辦的Black Hat USA大會上，科恩實驗室的研究人員介紹了2016年特斯拉公司對其研究成果的致謝中所包含的具體細節，並向與會者展示了一系列Tesla汽車的安全漏洞，獲得了與會者的好評。此外，藉助燈光舞蹈秀的形式展示了利用2017年發現的另一批漏洞攻擊的威力，但相關漏洞的細節並未公布。今年，該議題將會進一步介紹2017年彩蛋視頻背後涉及到的技術細節。除了介紹特斯拉的由雲端主導的空中升級（OTA）機制，並展示一些攻擊鏈中開發的新技術外，該議題還將著重介紹測試過程中發現的多個嚴重的安全漏洞。

作者簡介

劉令，騰訊科恩實驗室研究員，專註於逆向工程、漏洞挖掘、漏洞研究等技術，多次參與特斯拉等汽車的安全研究。曾在QEMU和XEN中發現多個虛擬化漏洞，同時也是一名CTF愛好者。

張文凱，騰訊科恩實驗室研究員，多次參與特斯拉、寶馬等汽車安全研究項目，主要負責汽車CAN網路和汽車固件分析工作，有豐富的嵌入式系統軟體開發經驗，熟悉ECU設計過程和汽車CAN網路結構。

杜岳峰，騰訊科恩實驗室研究員，多次參與特斯拉汽車安全研究，對逆向工程和惡意軟體分析領域有著濃厚的興趣。

議題解析

在今年的Black Hat USA大會上，我們向大家介紹2017年的攻擊鏈中相關漏洞的細節，並分享使用這些漏洞是如何完成燈光秀的。此外，自動駕駛系統的安全性已經成為一個新的熱點話題，我們則會向大家展示在特斯拉車上，對輔助駕駛模塊（即Autopillot，也稱APE）的安全研究成果。最後，和以往一樣，我們將會介紹特斯拉對相關漏洞的修復結果，並再一次強調只有安全研究者、安全社區和設備廠商互相合作，才能有效的提高整體安全水平。

攻擊過程中涉及到的部分硬體單元和連接方式如下圖所示。在去年，我們利用了兩個Webkit中存在的漏洞，實現了瀏覽器中的任意代碼執行。今年的情況和去年類似，整個攻擊過程依然是從一個Webkit漏洞開始的。

CID上具有一個Webkit內核的瀏覽器，在漏洞報告時，該瀏覽器仍保持為534.34版。該版本的Webkit內核中，存在一個UAF漏洞，下圖即是該漏洞的PoC代碼：

這個漏洞存在於對SVGTransformList元素的操作過程中。該元素內部存在多個SVGTransform實例，這些實例的SVGMatrix結構會存儲在一個Vector里。當SVGTransformList的Initialize或clear方法被調用後，Vecotr被釋放，但訪問Vector中Matrix的指針仍然存留。利用該UAF漏洞，經過精心的內存布局之後，即可藉助ArrayStorage、Uint32Array等結構的特性實現對內存的任意讀和任意寫，並從而實現了瀏覽器中的代碼執行。

獲取了瀏覽器的許可權之後，下一步操作就是突破內核和其他安全防護措施對瀏覽器的限制，從而得到root shell。2016年，我們是通過利用Linux內核中的一個漏洞實現該目的的，但在2017年，由於特斯拉修復了相當多的內核漏洞，我們不得不尋找新的漏洞。

在2017年的車機固件中，瀏覽器進程只能訪問/dev/nvmap和/dev/nvhost-ctrl兩個文件，這兩個文件都是用來與英偉達Tegra晶元進行通信的驅動介面。在和這兩個介面相關的代碼中，我們發現了一處漏洞，該漏洞可使我們從用戶空間對內核空間的任意內存地址減1。

這一漏洞存在於NVMap驅動中，當處理命令NVMAP_IOC_PIN_MULT時，由於對用戶提供的指針數組驗證不當，當其中包含一個非法結構時，非法結構體的引用數會被減1，而這個引用數的指針是用戶態可控的。這意味著，用戶態可以對內核態的任意內存地址減1。利用這一漏洞，結合Kernel中的其他gadget，我們可以對內核空間中的任意地址進行讀寫操作。之後對相關的syscall和AppArmor配置進行篡改，即可擁有root shell。

得到root shell證明CID已被完全攻破，下一個目標則是網關。2016年我們報告了網關上的一些設計缺陷，特斯拉在收到報告後對相關漏洞進行了修復，通過加入簽名機制，對網關上的升級軟體傳輸操作進行了限制，未簽名的升級軟體將不能被傳輸到網關上，因此理論上使用非物理攻擊方法是無法傳輸篡改後的升級軟體的。

但在對新軟體進行安全審計的過程中，我們發現，升級過程中存在行為不一致的問題。如下圖所示，儘管網關的文件傳輸協議限制了直接傳輸升級軟體的操作，名為」boot.img」的升級軟體無法直接傳輸到網關上，但文件系統的重命名行為和文件傳輸協議的重命名行為不一致。文件系統會忽略目標文件名首部的空格，導致目標文件名「x20boot.img」會被文件系統理解為」boot.img」，從而繞過了升級軟體對文件名的檢查。

用這種方法刷入我們修改後的升級軟體後，重啟網關，使其執行升級軟體，即可在網關上執行我們修改後的升級代碼，植入後門，或繞過原有升級軟體對固件簽名的檢查。

此外，我們還對整個OTA升級過程進行了研究。特斯拉的OTA升級過程大致可由下圖所示的幾個關鍵步驟描述。

雲端通過特斯拉自有的握手協議下發固件下載地址後，特斯拉CID上的cid-updater會從雲端下載固件，進行解密，並校驗其完整性。之後通過類似於A/B Update的方式，車內其他強運算力的聯網組件（如IC、APE等）根據cid-updater提供的固件文件進行升級。

此外，cid-updater還會負責根據固件包中的目錄信息，與車輛配置做比照，據此產生release.tgz文件，並和上文提到過的升級軟體boot.img一同提供給網關，網關執行上述升級軟體，更新在網關上連接的二十餘個ECU。

為了展示我們對車電系統整體的理解，我們對特斯拉在2016年年末推出的彩蛋功能進行了自定義修改和展示。下圖是彩蛋過程中幾個重點參與活動的ECU：

首先，CID會發送啟動信號，觸發這一過程，信號會被發送至BCCEN，該控制器對相關硬體進行初始化操作後，會確認目前車輛是否準備好啟動彩蛋，並等待鑰匙的按鍵信號。按鍵後，CID開始播放音樂，同時BCCEN以及其他ECU會按照各ECU中存儲的動作表，控制各組件按照預定計划動作。

因此為了實現自定義彩蛋功能，我們在CID中動態修改了多個檢查點，並對ECU固件中的動作表進行了修改，將修改後的固件刷入了ECU中。

最後，作為對前沿技術的一個嘗試，我們研究了ape-updater中的安全漏洞。該程序作為特斯拉OTA框架中的一部分，負責整個APE系統的更新。

該程序提供了兩個業務埠，其中25974埠提供了一個互動式shell和多種命令，可供CID進行控制；28496埠可通過一個HTTP伺服器提供其他組件需要的文件。

在25974埠提供的handshake命令中，會從伺服器請求一個JSON字元串，並稍後提供給install命令解析。在某個特定版本的特斯拉APE固件中，我們發現了名為m3-factory-deploy的命令，該命令可覆蓋handshake返回的JSON，從而讓攻擊者提供的JSON被解析。

利用JSON中存在的self_serve鍵值，可以要求APE將/var/etc/saccess/tesla1這一文件暴露在HTTP伺服器下，從而可得到其內容。利用其為憑據，可通過25974埠得到ape-updater中自帶的命令執行許可權，可以重新開啟SSH，並以root許可權在APE上執行任意程序。