09陈迎澳-车联网：站在研发视角挖漏洞.pdf

1、车 联 网-站 在 研 发 视 角 挖 漏 洞陈迎澳 小米小米旗下的安全团队，实验室致力于研究行业安全技术和实践、研发自动化平台、并对智能终端产品进行安全评估和防护，提升小米产品安全性。团队成员曾多次参加 Geekpwn 天府杯 补天杯等赛事并获大奖小米智能终端安全实验室汽车网络架构固件提取寻找控车目标寻找突破口研发过程中出现的问题控车案例Geekpwn2022漏洞成果先从汽车网络架构讲起燃油车架构QNX仪表盘RTOSIVI移远LinuxT-boxVehicle gatewayRTOSTSP日志上传PKI认证车辆位置监控远程控车Qualcomm PlatformQNXIVIDashboradL

2、inux-UDSVehicle gatewayQuectel-LinuxT-boxUbuntuADASHardware layerProtocol layerData Distribution ServiceMQTTHTTPSNFCDOIPBLUETOOTHApplication layerOriginal Equipment Manufacturer APPIndependent Development APP燃油车架构新能源架构IVIQNX基于QNX虚拟机的AndroidDashboradQNXQNX or AndroidT-boxQuectel LinuxQuectel LinuxVeh

3、icle gatewayRTOS UsbCanEmbedded Linux DoipADASNullUbuntu一切分析的开始，拿固件固件提取IVIDashboradT-boxVehicle gatewayADAS热风枪吹取Flash，通过底座进行读取找到引脚定义，通过调试引脚飞线进入调试进行提取工程模式开启ADB提取使用IVI热点，无任何网段隔离，弱口令或供应商通用口令进各组件SSH使用IVI热点，除T-box外存在网段隔离，以T-box为跳板进各组件SSH调试串口EMMC芯片吹取EMCP芯片吹取编程器OEM登陆口令oelinux123quectel123如何寻找目标信息收集1.该品牌有无信

4、息安全团队，是否正在招聘信息安全人员2.该品牌供应商为几家，这几家供应商供应几家车厂3.通过供应商情况与车厂情况判断是否重视安全确立目标后如何寻找突破口远程无接触近场蓝牙近场NFC近场WIFI近场伪基站D-bus or DDS“一远四近”研发过程中出现的问题总体设计编码上百页的技术文档充分的调研论证多次的安全评审研发人员项目上线压力研发人员安全意识不高实施时不重视安全，对设计阶段的蓝图打折扣完成控车案例MQTT的问题MQTTOEM的MQTT服务供应ABCDE五个车厂，想要控A车，在无A车硬件前提下，调研B车APP发现，可通过B车泄漏TLS证书，打入A车MQTT服务，使用A系车VIN控A系其他汽

5、车，实现多点收集，一点爆破。TSP地址在私网怎么办私网突破首先需要台架先上网，使用贴片天线，成本低廉配置文件中泄漏地址其次泄漏服务地址，并在固件中泄漏证书固件中泄漏证书动态调试或静态分析进行证书提取获取车机提取固件，窃取SSL证书发起控车指令https请求集群通过证书连接MQTT服务窃取控车指令，控制任意车辆攻击侧用户侧漏洞成果IVI APP使用公开签名且无签名校验安装system权限appT-box MQTT不存在有效认证TEE客户端私钥落盘至文件系统单纯的将TEE作为密钥存储的工具是不可靠的T-box 本地提权用户可控，cmd_str控制case，传入相应偏移，将case置为42触发漏洞T-box 运营商网段未隔离通过A车T-box的网络攻击其他A车，同时B车与A车在一个运营商网段，可从A车打入B车车域之间不隔离IVIADAST-BOXGATEWAYWIFIUSB工程模式检测Vender Id 与 Product Id 云端平行越权用户token通过A车token可控该品牌下任意一款汽车谢谢