网联汽车漏洞挖掘思路

关于我About me 马良格物实验室(IOT/工控/无人机/车联网/卫星/芯片)安全研究员 具有十多年嵌入式软硬件开发经验,擅长智能设备的固件提取和安全研究2016Xpwn比赛“西门子PLC蠕虫”演示2018看雪开发者大会演讲“智能设备固件提取的十种方法”2018 JD-HITB会议演讲嘉宾《Vocore2在安全研究的应用》2018GeekPwn<机器特工>机器人设计和制作2021GeekPwn<电力猫>插线板演示工具制作2022看雪开发者大会演讲“车联网渗透套路”2023Kcon《近源攻击的安全研究思路》2023雄安汽车漏洞攻防技术研讨会《网联汽车漏洞挖掘思路》 车联网漏洞挖掘方法及典型案例剖析 目录 ➢车联网安全现状 ➢车联网攻击技术➢车联网安全比赛经验➢大型车联网安全事件➢车联网安全解决方案 车联网安全现状-技术变革致信息安全形势严峻 车联网安全现状-风险增加&新形势 车联网安全现状-网络安全准入比重增加 2020年6月，联合国世界车辆法规协调论坛（简称“WP29”）发布2项智能网联汽车R155、R156法规，即网络安全（Cybersecurity）、软件升级（Software updates），适用于1958协议下成员国（覆盖所有欧盟国家和其他OECD国家），生产汽车若销售至1958成员国则必须通过认证。UN R155法规是全球第一个汽车信息安全强制法规，这意味着车辆的信息安全已经从符合标准进入到遵从法规的时代。 车联网安全现状-技术变革致信息安全形势严峻 车联网网络安全十大挑战(来源:中汽数据2024.11.22) 两届Pwn2own Automotive漏洞概述 处理器芯片 通信模块 Pwn2own Automotive 2024概述 阿尔派Halo9 IVI(Pwn2own 2024)发现的四个漏洞 ZDI-24-846 (CVE-2024-23924):这是本次事件的核心漏洞。它存在于UPDM_wemCmdCreatSHA256Hash函数中，是一个命令注入漏洞。由于系统未能正确验证用户通过USB设备提供的字符串，攻击者可以构造恶意输入，最终在root权限下执行任意代码。该漏洞的CVSS评分为6.8，攻击向量为物理接触（AV:P）。 ZDI-24-849 (CVE-2024-23961):由NCC Group发现的另一个命令注入漏洞，位于UPDM_wemCmdUpdFSpeDecomp函数中。同样通过物理接触（USB）触发，并能获得root权限。研究人员通过这个漏洞成功在IVI屏幕上运行经典游戏《毁灭战士》（Doom），展示其危害性。 ZDI-24-844 (CVE-2024-23923):这是一个释放后重用（Use-After-Free）漏洞，存在于prh_l2_sar_data_ind函数中。攻击者可在邻近网络（AV:A）中利用此漏洞，无需认证即可执行代码，CVSS评分高达8.8。 ZDI-24-848 (CVE-2024-23935):这是一个基于栈的缓冲区溢出漏洞，位于蓝牙协议栈的DecodeUTF7函数中。攻击者通过配对恶意的蓝牙设备即可触发，CVSS评分为8.0。 阿尔派Halo9 IVI系统性安全问题 Pwn2own Automotive 2025概述 目录 ➢车联网安全现状➢车联网攻击技术➢车联网安全比赛经验➢车联网安全解决方案 车联网数据安全威胁架构图 •第三方供应商• Cleo平台漏洞• GitLab入侵 •未授权数据收集•保险公司数据• 180万用户 •现代汽车欧洲• Club Car• Black Basta组织 网络传输层 车载系统层 更新机制缺陷•未签名包刷写•校验缺失•固件篡改 • Root权限获取•系统完全控制• 2014-2021车型 数据存储层 车联网安全技术分析 车联网安全–零部件测试 车联网安全–常见攻击向量&新兴威胁 车联网安全–典型攻击路径&高级攻击技术 车联网安全测试&加固建议 目录 ➢车联网安全现状➢车联网攻击技术➢车联网安全比赛经验➢车联网安全解决方案 准备的工具 车联网整车安全测试技术路线 安全测试重点–容易出漏洞的地方 ●APP脱壳：目前大多数车联网APP都进行加固，可以使用绿盟自研的破盾平台进行脱壳。●抓包逆向：签名算法逆向，接口越权，获取车主及车辆敏感信息。●密钥泄露：导致云端敏感信息泄露。●接口测试：任意车主账户账号接管，任意车辆信息获取。 ●固件获取：工程模式开启调试接口获取固件数据，进行逆向工程。●密钥查找：分析车机包含的日志/二进制程序，获取密钥，获取云端升级服务权限。●车内网络测试：利用IVI作为跳板，对车内的网络进行黑盒扫描测试，并成功获取不同车内节点的root权限。●敏感服务测试：对包含行车记录仪在内的组件进行测试，发现暴露的敏感服务，获取行车记录等敏感信息。 ●SDR重放测试：针对车钥匙使用软件定义无线电设备进行重放攻击，成功对某品牌车辆进行解锁操作。●数字钥匙攻击测试：嗅探蓝牙数据包并重放，成功对某品牌车辆进行解锁操作●无钥匙中继测试：车辆端设备对车辆发出的信号进行放大滤波变频，然后通过天线进行发射，车钥匙端设备对此信号进行变频放大滤波，然后发送给车钥匙，即可实现信号的中继。也可以对NFC和BLE信号进行中继。 硬件方面的困难和解决办法 车机固件测试的困难和突破 解决方案 测试困难 通过各种折腾，发现可疑IP地址发现并验证车机内部IP的ftp权限发现并验证车机内部IP的SSH权限发现安装第三方软件漏洞浏览器XXE信息获取套路的发现和总结 厂商加固了硬件防护手段 隔离车机内的IP网络，扫描不到内部IP 权限、命令阉割 很多命令获取不到车机内部通信的网段 受权限和命令阉割影响，获取不到关键进程ID 一个常见的控车套路(越权漏洞背后原因和原理) 车联网高危漏洞是怎么被发现的(思路&真实案例) 车联网APP测试流程 加固绕过 签名算法： 密钥查找： 加固绕过： 流量抓包： 发现漏洞： 目前安卓上的对抗已经非常成熟，可以去分析IOS平台上的应用，相对难度较小。 抓包出现sign算法，需要分析算法的实现流程，从而达到修改请求的目的。 分析APP中包含的敏感密钥（FTP密码，OSS密钥） 使用frida或者绕过SSL PIN 寻找车联网APP社区中的用户信息泄露的漏洞。 对于双向HTTPS绑定的，需要找到内置的客户端证书密钥文件，同时找到解密该文件的密码，导入密钥文件到抓包软件中。 针对APP内置的URL进行分析，查看是否会存在泄露的信息。 签名算法会将HTTP请求中的url及参数按照顺序排列并添加一个密钥求出一个哈希值。 针对IOS上的车联网APP，大多数只需要找到越狱检测地方绕过即可。 某次比赛发现的漏洞类型的统计 变化&趋势 应用层(Application Layer) 厂商安全意识 Android App iOS App •加固方法增加•脱壳更加困难•安全防护提升• PIN码验证增强 •安全意识提升•漏洞挖掘难度加大•防护策略完善•安全投入增加 •越狱检测增加•安全机制完善•防护能力增强•控车验证严格 通信层(Communication Layer) 网络协议安全 App与云端通信 •协议层防护增强•认证机制完善•会话管理优化•安全策略更新 •签名认证升级为双向认证•通信安全性大幅提升•中间人攻击防护加强•数据传输加密强化 硬件层(Hardware Layer) 固件安全 ADB接口 车机系统 •固件提取不完整•需要巧妙提取方法•固件加密保护•逆向工程难度提升 • Root权限获取困难•调试接口限制增加•开发者选项保护•系统级权限控制 • App安装权限限制•系统封闭性增强•第三方应用管控•安全沙箱机制 竞赛驱动的漏洞发现与防御策略优化 以攻促防的持久价值 目录 ➢车联网安全现状➢车联网攻击技术➢车联网安全比赛经验➢车联网安全解决方案 车联网安全未来之路：协同共治与持续进化 车联网数据安全与隐私保护 未来展望：新兴威胁与防御之道 车联网安全是一个持续演进的战场。人工智能驱动的攻击、电动汽车充电生态系统的脆弱性以及日益复杂的第三方集成，正成为新的主要风险源。行业需要采取超越合规的、更主动和全面的网络安全战略来应对未来挑战。