x-sec
车载部件概述
基于对2017款雷克萨斯NX300车辆的硬件分析和CAN网络测试,汽车内部的基本架构如下图所示(涉及到AVN、DCM数据通信模块、电子控制单元和CAN网络等)。
DCM数据通信模块
DCM是一个运行在高通MDM6600基带芯片上的远程信息处理设备,又称为T-Box。它可以通过USB以太网接口为AVN设备提供3G网络来支持远程信息服务。DCM还可以通过CAN总线查询ECU (比如汽车引擎和车门) 的状态信息,并将查询结果上传到云端后台。AVN 视听导航设备
作为车载信息娱乐系统,雷克萨斯AVN设备主要为用户提供无线电广播、多媒体和导航功能。实际上,它由两部分组成:DCU显示控制单元和MEU地图多媒体扩展单元。DCU是AVN单元的关键部件,DCU的主电路板模块暴露了一些常见的攻击面,如Wi-Fi,蓝牙和USB接口。通过DCU uCOM电路板模块,DCU系统能给通过CAN消息与汽车内部ECU进行间接通信。MEU地图多媒体扩展单元功能非常透明,它只负责提供地图导航数据。在DCU和MEU之间,还连接了USB以太网线用于消息通信。DCU 主电路板模块
通过拆解DCU硬件,我们发现它主要包含两个电路板模块。如下图所示,根据电路板位置,顶层为DCU主电路板模块,底层为DCU uCOM电路板模块。
DCU uCOM电路板模块
TDCU uCOM电路板模块的用途是管理电源和一些外部设备,如DVD播放器、空调、触控板和电子时钟。而为了与这些外部设备通信,uCOM电路板上配备了两个CAN总线微控制器(SYSuCOM与CANuCOM),每个微控制器都和uCOM电路板上独立的CAN总线收发器进行连接。 CANuCOM是DCU显示控制单元中的一个CAN总线控制器。它使用的是瑞萨R5F10PLJL芯片(如图5所示),通过连接一个CAN总线收发器,CANuCOM可以直接访问汽车的娱乐CAN总线,并且能给与一些车载ECU(如网关和Main Body ECU)交换CAN消息。
电子控制单元和CAN网络
中央网关是一个重要的汽车ECU,它将车载CAN网络划分为不同的CAN域,包括娱乐CAN、车身CAN、OBD诊断CAN、底盘CAN和动力CAN等。另一个必不可少的ECU是Main Body ECU,也被称为车身控制模块(BCM)。Main Body ECU管理了一组用于处理车身相关功能的ECU。DCM模块和AVN属于娱乐CAN域。为了传输CAN消息,DCU uCOM电路板上设计了2个不同的CAN总线(即CAN-1和CAN-2)。通过uCOM模块,DCU主板模块可以向网关传输特定的CAN消息来查询车辆状态。 CAN-1. CANuCOM 微控制器的CAN总线,它直接连接到车内的娱乐CAN总线。通过UART串口与SYSuCOM通信,CANuCOM可以往娱乐CAN总线间接传输来自DCU主板的CAN消息。 CAN-2. SYSuCOM微控制器的CAN总线,它是一路专用CAN总线,用来连接DCU、触控板以及电子时钟等设备。该CAN总线与车载CAN网络在物理上是隔离的。 为了发送CAN消息,DCU主板模块与SYSuCOM建立了两路UART串口(/dev/ttySC1和/dev/ ttysc9)。DCU系统可以将定制的CAN消息发送到/dev/ttySC1串口,这些消息会被中转到CAN-1总线。通过类似的方式,发送到/dev/ttySC9的消息会被转发到CAN-2总线。安全研究成果
以下表中所有的安全研究发现在2017款雷克萨斯NX300车型上验证是有效的,并且在我们向丰田公司提交完整的技术报告及合作交流相应的技术细节之后,丰田也确认了这些安全问题。
无线破解DCU系统
我们利用车载蓝牙服务中的两个漏洞实现在DCU的Linux系统中以root权限远程执行代码。第一个是堆内存越界读漏洞,第二个是堆内存的缓冲区溢出漏洞。这两个漏洞都存在于建立蓝牙连接的过程中,并且是在蓝牙配对之前,这使得针对蓝牙漏洞的利用是完全无需用户接触和交互的。而为了获得受影响车辆的蓝牙MAC地址,如果DCU系统曾经与移动电话配对过,我们就可以用 “Ubertooth One”[4]设备进行无线嗅探到DCU系统 的MAC地址。 此外,DCU系统并不支持安全启动,这意味着整个系统可以被篡改,例如按照惯例替换掉系统启动动画。在完全控制DCU系统之后,我们发现想要任意发送CAN消息并不容易,因为在DCU uCOM模块中已经实现了CAN消息的过滤机制。但幸运的是,DCU的Linux系统是负责uCOM的固件升级。重构uCOM固件
通过逆向uCOM固件及其固件更新逻辑,我们能够将一个恶意固件重新刷写到uCOM电路板模块中,以此来绕过CAN消息验证,从而可以实现向车辆娱乐CAN总线发送任意CAN消息。传输未授权诊断消息
根据车载诊断系统的实验测试结果,我们确认了被破解后的DCU系统是被允许通过发送未经授权的诊断CAN消息来控制车辆的诊断功能。Main Body ECU会被恶意诊断从而造成汽车在缺乏认证的情况下执行物理操作。
无线攻击链
通过结合蓝牙和车载诊断功能中的安全发现(见表1),我们可以实现如下图所示的从蓝牙无线到车内CAN网络的远程无接触式的攻击链。
漏洞披露流程
雷克萨斯汽车安全研究是一项道德的安全研究项目。科恩实验室遵循了全球软件和互联网行业公认的负责任的漏洞披露原则,同丰田公司一起合作修复本报告中列出的安全漏洞和攻击链。 以下是详细的漏洞披露时间线:
丰田官方回应
丰田对于此次研究的官方回复请参考如下链接: https://global.toyota/en/newsroom/corporate/32120629.html引用
[1] https://keenlab.tencent.com/en/ [2] https://www.renesas.com/us/en/solutions/automotive/soc/r-car-m2.html [3] https://www.flashrom.org/Flashrom [4] https://greatscottgadgets.com/ubertoothone/ [5] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-5551未经允许不得转载:x-sec » 腾讯科恩实验室发布《雷克萨斯汽车安全研究综述报告》
