編者注：作者@fenggou，烏云漏洞平臺聯(lián)合創(chuàng)始人。

還記得前幾天媒體鋪天蓋地宣傳的黑客攻陷克萊斯勒汽車的案例么？具體新聞：兩名黑客的入侵演示 致使克萊斯勒召回140萬輛汽車。

其中黑客在遠(yuǎn)程控制了記者駕駛汽車的雨刷、音響、中控大屏、剎車甚至是低速情況下的遠(yuǎn)程駕駛權(quán)限，給車開到溝里去鳥……隨著BlackHat大會的首日召開，這次汽車攻擊細(xì)節(jié)也公布于眾，其中有令人眼前一亮的漏洞與分析，我們一起來看。

這個議題名為”REMOTE EXPLOITATION OF AN UNALTERED PASSENGER VEHICLE“。其中，Charlie Miller是twitter的安全研究員（就是上圖比較清涼的這位GG），是工業(yè)安全界非常有名的人物。

汽車經(jīng)絡(luò)圖，這個汽車大保健呢，應(yīng)該按這里，這里，還有這里。哦對，這個部位的激烈震動有益汽車的身心健康。

回到正題，這次議題中講了兩種可以遠(yuǎn)程攻擊到汽車的方法：

1、首先是通過Wi-Fi入侵車載系統(tǒng)Uconnect。

Charlie Miller先逆向了汽車Uconnect系統(tǒng)WPA2密碼的生成方式，發(fā)現(xiàn)WPA2的密碼是根據(jù)設(shè)定密碼的時間作為種子生成的隨機(jī)密碼，并且首次生成以后并不會改變。所以說當(dāng)知道了生成密碼的時間，就可以暴力破解出密碼。

簡單來說就是知道你是哪一天設(shè)置的密碼，那黑客就可以在1小時內(nèi)暴力猜出你的Wi-Fi密碼。

進(jìn)入汽車Uconnect系統(tǒng)的Wi-Fi內(nèi)網(wǎng)后，Charlie發(fā)現(xiàn)汽車打開了6667端口運(yùn)行D-BUS服務(wù)。D-BUS是以root模式運(yùn)行，其中有一個服務(wù)（NavTrailService）存在任意命令注入漏洞，然后就這樣獲取到了Uconnect系統(tǒng)的root控制權(quán)（就是這套系統(tǒng)最高控制權(quán)，相當(dāng)于你媳婦在家里的地位）。

編者注：Uconnect系統(tǒng)是克萊斯勒旗下的車載娛樂信息系統(tǒng)，支持播放音樂、導(dǎo)航、手機(jī)app遙控等。默認(rèn)情況下，它可以讀取汽車控制系統(tǒng)的狀態(tài)，但不能控制。  詳細(xì)可參考官方說明：Services and Apps from Uconnect）

2、另一種方式是通過蜂窩網(wǎng)絡(luò)入侵汽車。

這種方式更酷一些。首先采用 femto-cell 的方法讓Uconnect接入偽基站，然后對區(qū)域內(nèi)的 IP 進(jìn)行掃描尋找打開了6667端口的設(shè)備，也就是打開D-BUS服務(wù)端口的汽車。隨后采用和Wi-Fi攻擊手段一樣的命令注入方法獲取到root權(quán)限（相當(dāng)于你跟媳婦有了孩子后，這小兔崽子在你家中的地位）。

編者注：femto-cell，偽造蜂窩基站?？杀挥米鱾位救喊l(fā)垃圾短信等非法用途。具體案例可參考烏云的分析案例。

你以為這就黑掉汽車了？非也，畢竟這對好基友（黑客）研究了一年的漏洞，可不會就這么簡單輕松。因為Charlie有講到，即使得到了Uconnect車載系統(tǒng)的root權(quán)限也只能進(jìn)行一些媒體控制，放個音樂，放個小電影。想要控制汽車的底層功能，還需要對Uconnect這套車載系統(tǒng)的固件進(jìn)行修改。

除此之外，Charlie 他們還發(fā)現(xiàn)目標(biāo)汽車有個嚴(yán)重的安全漏洞。那就是汽車的系統(tǒng)不會驗證固件的簽名，因此通過修改固件系統(tǒng)并加入后門功能變?yōu)榱丝赡堋?/p>

就這么理解吧，你手里的iPhone手機(jī)現(xiàn)在可以刷自帶1024客戶端的iOS10系統(tǒng)啦。

至于這自制固件做了啥，烏云君之前的猜測是黑客利用了OBD的私有協(xié)議進(jìn)行攻擊，但目前看來，Uconnect可能是直接與自己的汽車總線控制系統(tǒng)或者是汽車ecu（汽車真正的電子大腦，可以控制一切）進(jìn)行的交互，所以可以控制剎車等底層功能。但正常固件功能無法隨便的控制，所以自制固件所做的應(yīng)該就是打通了黑客直接接觸到目標(biāo)汽車底層系統(tǒng)的會話通道。

最后，放上幾張Charlie Miller演示的各種控制汽車的視頻截圖福利：

看得熱血沸騰了吧？也想研究汽車安全成為汽車黑客？這個簡單！首先你得有輛車......

更多關(guān)于漏洞信息，可移步烏云知乎專欄。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。