對于黑客來說，電腦可以破解、游戲機可以破解、手機可以破解，那遠在天上的衛(wèi)星可以破解嗎？

答案是可以的！而且被破解的還是世界首富馬斯克旗下Space X星鏈計劃中的衛(wèi)星。

破解星鏈衛(wèi)星的小哥來自來自比利時魯汶大學，名字叫Lennert Wouters，從事研究員工作。Wouters在拉斯維加斯近日召開的Black Hat Security Conference（黑帽安全技術(shù)大會）上現(xiàn)場展示了破解Space X的全過程。

花25美元破解價值50萬美元的衛(wèi)星

據(jù)Lennert Wouters介紹，他用了一年的時間來研究如何破解衛(wèi)星，最終的破解方案僅需要25美元的成本。其破解的思路可以概括為“使用定制電路板繞過簽名驗證檢查，用欺騙的方式讓系統(tǒng)誤以為啟動過程正確，并不存在篡改”。這個跟以前流行的破解游戲主機的思路相似。

了解了思路之后，讓我們跟著Lennert Wouters的介紹一起了解他破解衛(wèi)星終端的過程。要想破解衛(wèi)星，首先你需要Space X的衛(wèi)星終端——用來跟衛(wèi)星連接的天線（不是貓窩）。

通過天線，Lennert Wouters能夠了解衛(wèi)星的運作以及終端的工作原理，以便于他著手破解衛(wèi)星。

但單單是看著這個天線是不夠的，還需要拆開這個天線，研究天線的內(nèi)部結(jié)構(gòu)，才能夠找到攻擊衛(wèi)星終端，注入代碼的攻擊點。

于是，Lennert Wouters使用異丙醇、撬棒、熱風機等工具對衛(wèi)星天線進行拆解，不過據(jù)他本人介紹，整個拆解的過程相當麻煩，拆解者需要擁有極強的耐心。

經(jīng)過一番操作之后，卸下天線的金屬外殼，就可以拿到像下面這樣，直徑為59cm的電路板。

電路板上集成的電路系統(tǒng)有：一枚定制化的四核ARM Cortex-A53處理器、射頻電路、以太供電系統(tǒng)以及GPS接收器。

拆解完之后，Lennert Wouters發(fā)現(xiàn)這顆定制化的處理器架構(gòu)未曾公開過，所以破解難度較大。

但攻破技術(shù)難關(guān)，這就是黑客的樂趣所在。為了破解衛(wèi)星天線的電路主板，黑客小哥需要自制modchip（破解芯片）。于是他掃描了整塊天線的電路主板，找到最適合破解芯片的電路設計方案。

完成電路掃描之后，Lennert Wouters根據(jù)自己制作的電路設計方案使用Rasperrt Pi（樹莓派）微控制器、閃存、電子開關(guān)和穩(wěn)壓器做了一塊針對衛(wèi)星天線的破解芯片，然后將破解芯片通過線纜焊接到天線鍋的PCB板上。

到這一步，用于攻擊衛(wèi)星天線的硬件工具已經(jīng)制作完畢。接下來要做的就是尋找攻擊點，使用破解芯片注入攻擊到衛(wèi)星終端（天線鍋）的系統(tǒng)中，修改衛(wèi)星終端上的固件，最終奪取對天線終端的控制權(quán)。

在Lennert Wouters長時間的摸索中，他發(fā)現(xiàn)在衛(wèi)星終端啟動時，會經(jīng)歷多個不同的引導程序加載階段。其中第一個引導加載程序因為是被刻錄到片上系統(tǒng)的，無法更新，所以在攻擊成功后注入的修改固件不會被重置，從而實現(xiàn)最終奪取對衛(wèi)星終端的控制權(quán)。

確定了攻擊目標之后，Lennert Wouters在“簽名驗證”及“哈希驗證”這兩個理想攻擊切入點中選擇了更適合的“簽名驗證”。Lennert Wouters表示，工程師在設計電路的時候會努力避免短路，但黑客的攻擊方法經(jīng)常會刻意利用短路或者制造電路問題擾亂電路板的原有設定，實現(xiàn)“渾水摸魚”。

因此Lennert Wouters在注入故障的時候，需要先讓負責平滑電源的去耦電容停止工作，實現(xiàn)電路板的安全保護機制短路，之后注入故障修改硬件程序并繞過安全保護，完成上面的操作之后，重啟去耦電容，即可實現(xiàn)篡改并運行星鏈固件，取得底層系統(tǒng)訪問權(quán)限。

上面思路理清楚之后，就可以開始進入破解的實操環(huán)節(jié)了。在實操過程中，Lennert Wouters本來打算在衛(wèi)星終端的啟動周期結(jié)束（Linux操作系統(tǒng)全部加載完成）再發(fā)起攻擊，但在后續(xù)的實驗中，他發(fā)現(xiàn)搶在啟動前發(fā)起進攻才是更為可靠的方法。最終，Lennert Wouters實現(xiàn)了在衛(wèi)星終端的啟動周期之內(nèi)篡改并運行星鏈固件，獲得設備的底層系統(tǒng)訪問權(quán)限 。

至此，Lennert Wouters完成了自己對衛(wèi)星終端的破解，并實現(xiàn)了通過衛(wèi)星終端給天邊的衛(wèi)星注入代碼，實現(xiàn)修改衛(wèi)星固件。

目前，Lennert Wouters的定制版modchip已經(jīng)公布在GitHub上，但并沒有出售modchip成品的打算，也從未向他人提供過篡改后的用戶終端固件，或者利用此漏洞的確切細節(jié)獲利。

Space X高度認可，提出漏洞賞金計劃

作為一名安全研究員，在去年，Lennert Wouters就已經(jīng)向SpaceX報告了這些漏洞，星鏈也通過漏洞懸賞計劃向Wouters支付了相應的賞金。Lennert Wouters表示，雖然SpaceX已發(fā)布的更新使攻擊更加困難，但避免此類攻擊的唯一可靠方法是創(chuàng)建一個新版本的主芯片，否則無法從根源上解決問題。

SpaceX方面則是對Lennert Wouters的破解表示了極高的認可，在Lennert Wouters進行破解的時候，SpaceX官方還曾表示可以提供“研究員級別”的身份輔助Lennert Wouters進行破解研究。

同時，星鏈項目方重申，此攻擊需要對用戶終端進行物理訪問，并強調(diào)對安全啟動系統(tǒng)注入故障只會影響到當前設備。整個星鏈系統(tǒng)的其余部分不會因此受到影響。換言之，普通星鏈用戶無需擔心受此攻擊影響，也無需采取任何應對措施。

公司還表示歡迎各個研究人員發(fā)現(xiàn)并報告漏洞，對“星鏈”網(wǎng)絡進行非破壞性測試、報告并發(fā)現(xiàn)漏洞的研究人員可獲得100美元25000美元的獎勵，并列出了已報告“重大安全問題”的32名研究人員。

衛(wèi)星正在成為惡意黑客心中的不法之地

星鏈衛(wèi)星被破解，讓天邊的衛(wèi)星走進了大部分人的視野當中，但透過這一次破解，我們需要提高警惕。

星鏈計劃是馬斯克旗下Space X公司于2015年公布的衛(wèi)星通訊計劃，目前計劃發(fā)射4.2w顆衛(wèi)星，實現(xiàn)用戶在全球各地都可以享受上網(wǎng)。但有消息指出，在俄烏戰(zhàn)爭中，星鏈計劃給烏方提供了通訊支持，實現(xiàn)烏方無人機定點打擊的功能。

星鏈計劃真實目的不得而知，但目前惡意黑客已經(jīng)將衛(wèi)星互聯(lián)網(wǎng)視為攻擊目標。最早于02年的時候，我國便出現(xiàn)過衛(wèi)星被不法組織黑入，導致電視畫面異常的情況。此外，在北斗衛(wèi)星還沒部署之前，中國曾在一次軍事演習中被美國關(guān)閉了GPS使用權(quán)，導致導彈發(fā)射偏離軌跡。

當下太空資源已經(jīng)成為了大國之間的必爭之地。在如今，亞馬遜、OneWeb、波音、Telesat和SpaceX等民營組織加入其中將進一步加劇資源的爭奪。但最重要的是各方在此次破解當中應當提高安全警惕，防止為了無畏的擴張，導致“太空垃圾”泛濫，讓衛(wèi)星成為黑客違法的助力。

雷峰網(wǎng)(公眾號：雷峰網(wǎng))

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。