對(duì)于黑客來(lái)說(shuō)，電腦可以破解、游戲機(jī)可以破解、手機(jī)可以破解，那遠(yuǎn)在天上的衛(wèi)星可以破解嗎？

答案是可以的！而且被破解的還是世界首富馬斯克旗下Space X星鏈計(jì)劃中的衛(wèi)星。

破解星鏈衛(wèi)星的小哥來(lái)自來(lái)自比利時(shí)魯汶大學(xué)，名字叫Lennert Wouters，從事研究員工作。Wouters在拉斯維加斯近日召開(kāi)的Black Hat Security Conference（黑帽安全技術(shù)大會(huì)）上現(xiàn)場(chǎng)展示了破解Space X的全過(guò)程。

花25美元破解價(jià)值50萬(wàn)美元的衛(wèi)星

據(jù)Lennert Wouters介紹，他用了一年的時(shí)間來(lái)研究如何破解衛(wèi)星，最終的破解方案僅需要25美元的成本。其破解的思路可以概括為“使用定制電路板繞過(guò)簽名驗(yàn)證檢查，用欺騙的方式讓系統(tǒng)誤以為啟動(dòng)過(guò)程正確，并不存在篡改”。這個(gè)跟以前流行的破解游戲主機(jī)的思路相似。

了解了思路之后，讓我們跟著Lennert Wouters的介紹一起了解他破解衛(wèi)星終端的過(guò)程。要想破解衛(wèi)星，首先你需要Space X的衛(wèi)星終端——用來(lái)跟衛(wèi)星連接的天線(xiàn)（不是貓窩）。

通過(guò)天線(xiàn)，Lennert Wouters能夠了解衛(wèi)星的運(yùn)作以及終端的工作原理，以便于他著手破解衛(wèi)星。

但單單是看著這個(gè)天線(xiàn)是不夠的，還需要拆開(kāi)這個(gè)天線(xiàn)，研究天線(xiàn)的內(nèi)部結(jié)構(gòu)，才能夠找到攻擊衛(wèi)星終端，注入代碼的攻擊點(diǎn)。

于是，Lennert Wouters使用異丙醇、撬棒、熱風(fēng)機(jī)等工具對(duì)衛(wèi)星天線(xiàn)進(jìn)行拆解，不過(guò)據(jù)他本人介紹，整個(gè)拆解的過(guò)程相當(dāng)麻煩，拆解者需要擁有極強(qiáng)的耐心。

經(jīng)過(guò)一番操作之后，卸下天線(xiàn)的金屬外殼，就可以拿到像下面這樣，直徑為59cm的電路板。

電路板上集成的電路系統(tǒng)有：一枚定制化的四核ARM Cortex-A53處理器、射頻電路、以太供電系統(tǒng)以及GPS接收器。

拆解完之后，Lennert Wouters發(fā)現(xiàn)這顆定制化的處理器架構(gòu)未曾公開(kāi)過(guò)，所以破解難度較大。

但攻破技術(shù)難關(guān)，這就是黑客的樂(lè)趣所在。為了破解衛(wèi)星天線(xiàn)的電路主板，黑客小哥需要自制modchip（破解芯片）。于是他掃描了整塊天線(xiàn)的電路主板，找到最適合破解芯片的電路設(shè)計(jì)方案。

完成電路掃描之后，Lennert Wouters根據(jù)自己制作的電路設(shè)計(jì)方案使用Rasperrt Pi（樹(shù)莓派）微控制器、閃存、電子開(kāi)關(guān)和穩(wěn)壓器做了一塊針對(duì)衛(wèi)星天線(xiàn)的破解芯片，然后將破解芯片通過(guò)線(xiàn)纜焊接到天線(xiàn)鍋的PCB板上。

到這一步，用于攻擊衛(wèi)星天線(xiàn)的硬件工具已經(jīng)制作完畢。接下來(lái)要做的就是尋找攻擊點(diǎn)，使用破解芯片注入攻擊到衛(wèi)星終端（天線(xiàn)鍋）的系統(tǒng)中，修改衛(wèi)星終端上的固件，最終奪取對(duì)天線(xiàn)終端的控制權(quán)。

在Lennert Wouters長(zhǎng)時(shí)間的摸索中，他發(fā)現(xiàn)在衛(wèi)星終端啟動(dòng)時(shí)，會(huì)經(jīng)歷多個(gè)不同的引導(dǎo)程序加載階段。其中第一個(gè)引導(dǎo)加載程序因?yàn)槭潜豢啼浀狡舷到y(tǒng)的，無(wú)法更新，所以在攻擊成功后注入的修改固件不會(huì)被重置，從而實(shí)現(xiàn)最終奪取對(duì)衛(wèi)星終端的控制權(quán)。

確定了攻擊目標(biāo)之后，Lennert Wouters在“簽名驗(yàn)證”及“哈希驗(yàn)證”這兩個(gè)理想攻擊切入點(diǎn)中選擇了更適合的“簽名驗(yàn)證”。Lennert Wouters表示，工程師在設(shè)計(jì)電路的時(shí)候會(huì)努力避免短路，但黑客的攻擊方法經(jīng)常會(huì)刻意利用短路或者制造電路問(wèn)題擾亂電路板的原有設(shè)定，實(shí)現(xiàn)“渾水摸魚(yú)”。

因此Lennert Wouters在注入故障的時(shí)候，需要先讓負(fù)責(zé)平滑電源的去耦電容停止工作，實(shí)現(xiàn)電路板的安全保護(hù)機(jī)制短路，之后注入故障修改硬件程序并繞過(guò)安全保護(hù)，完成上面的操作之后，重啟去耦電容，即可實(shí)現(xiàn)篡改并運(yùn)行星鏈固件，取得底層系統(tǒng)訪(fǎng)問(wèn)權(quán)限。

上面思路理清楚之后，就可以開(kāi)始進(jìn)入破解的實(shí)操環(huán)節(jié)了。在實(shí)操過(guò)程中，Lennert Wouters本來(lái)打算在衛(wèi)星終端的啟動(dòng)周期結(jié)束（Linux操作系統(tǒng)全部加載完成）再發(fā)起攻擊，但在后續(xù)的實(shí)驗(yàn)中，他發(fā)現(xiàn)搶在啟動(dòng)前發(fā)起進(jìn)攻才是更為可靠的方法。最終，Lennert Wouters實(shí)現(xiàn)了在衛(wèi)星終端的啟動(dòng)周期之內(nèi)篡改并運(yùn)行星鏈固件，獲得設(shè)備的底層系統(tǒng)訪(fǎng)問(wèn)權(quán)限 。

至此，Lennert Wouters完成了自己對(duì)衛(wèi)星終端的破解，并實(shí)現(xiàn)了通過(guò)衛(wèi)星終端給天邊的衛(wèi)星注入代碼，實(shí)現(xiàn)修改衛(wèi)星固件。

目前，Lennert Wouters的定制版modchip已經(jīng)公布在GitHub上，但并沒(méi)有出售modchip成品的打算，也從未向他人提供過(guò)篡改后的用戶(hù)終端固件，或者利用此漏洞的確切細(xì)節(jié)獲利。

Space X高度認(rèn)可，提出漏洞賞金計(jì)劃

作為一名安全研究員，在去年，Lennert Wouters就已經(jīng)向SpaceX報(bào)告了這些漏洞，星鏈也通過(guò)漏洞懸賞計(jì)劃向Wouters支付了相應(yīng)的賞金。Lennert Wouters表示，雖然SpaceX已發(fā)布的更新使攻擊更加困難，但避免此類(lèi)攻擊的唯一可靠方法是創(chuàng)建一個(gè)新版本的主芯片，否則無(wú)法從根源上解決問(wèn)題。

SpaceX方面則是對(duì)Lennert Wouters的破解表示了極高的認(rèn)可，在Lennert Wouters進(jìn)行破解的時(shí)候，SpaceX官方還曾表示可以提供“研究員級(jí)別”的身份輔助Lennert Wouters進(jìn)行破解研究。

同時(shí)，星鏈項(xiàng)目方重申，此攻擊需要對(duì)用戶(hù)終端進(jìn)行物理訪(fǎng)問(wèn)，并強(qiáng)調(diào)對(duì)安全啟動(dòng)系統(tǒng)注入故障只會(huì)影響到當(dāng)前設(shè)備。整個(gè)星鏈系統(tǒng)的其余部分不會(huì)因此受到影響。換言之，普通星鏈用戶(hù)無(wú)需擔(dān)心受此攻擊影響，也無(wú)需采取任何應(yīng)對(duì)措施。

公司還表示歡迎各個(gè)研究人員發(fā)現(xiàn)并報(bào)告漏洞，對(duì)“星鏈”網(wǎng)絡(luò)進(jìn)行非破壞性測(cè)試、報(bào)告并發(fā)現(xiàn)漏洞的研究人員可獲得100美元25000美元的獎(jiǎng)勵(lì)，并列出了已報(bào)告“重大安全問(wèn)題”的32名研究人員。

衛(wèi)星正在成為惡意黑客心中的不法之地

星鏈衛(wèi)星被破解，讓天邊的衛(wèi)星走進(jìn)了大部分人的視野當(dāng)中，但透過(guò)這一次破解，我們需要提高警惕。

星鏈計(jì)劃是馬斯克旗下Space X公司于2015年公布的衛(wèi)星通訊計(jì)劃，目前計(jì)劃發(fā)射4.2w顆衛(wèi)星，實(shí)現(xiàn)用戶(hù)在全球各地都可以享受上網(wǎng)。但有消息指出，在俄烏戰(zhàn)爭(zhēng)中，星鏈計(jì)劃給烏方提供了通訊支持，實(shí)現(xiàn)烏方無(wú)人機(jī)定點(diǎn)打擊的功能。

星鏈計(jì)劃真實(shí)目的不得而知，但目前惡意黑客已經(jīng)將衛(wèi)星互聯(lián)網(wǎng)視為攻擊目標(biāo)。最早于02年的時(shí)候，我國(guó)便出現(xiàn)過(guò)衛(wèi)星被不法組織黑入，導(dǎo)致電視畫(huà)面異常的情況。此外，在北斗衛(wèi)星還沒(méi)部署之前，中國(guó)曾在一次軍事演習(xí)中被美國(guó)關(guān)閉了GPS使用權(quán)，導(dǎo)致導(dǎo)彈發(fā)射偏離軌跡。

當(dāng)下太空資源已經(jīng)成為了大國(guó)之間的必爭(zhēng)之地。在如今，亞馬遜、OneWeb、波音、Telesat和SpaceX等民營(yíng)組織加入其中將進(jìn)一步加劇資源的爭(zhēng)奪。但最重要的是各方在此次破解當(dāng)中應(yīng)當(dāng)提高安全警惕，防止為了無(wú)畏的擴(kuò)張，導(dǎo)致“太空垃圾”泛濫，讓衛(wèi)星成為黑客違法的助力。

雷峰網(wǎng)(公眾號(hào)：雷峰網(wǎng))

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。