据一组学术研究人员称,特斯拉电动汽车的车载娱乐系统存在一个几乎无法修复的漏洞,可以让车主免费解锁一系列付费功能,包括提高加速性能和开启加热座椅等。研究人员还发现,可以从娱乐系统跳转到特斯拉内部网络,进行车辆认证,从而打开更多可能性,包括突破导航和自动驾驶的地理限制,以及将特斯拉的“用户档案”迁移到另一辆车上。
据IT之家了解,所有最新的特斯拉汽车都配备了一款基于 AMD 的娱乐系统,称为 MCU-Z,可以通过 OTA 更新来启用高级功能。
这正是柏林工业大学的一组博士生和独立研究员 Oleg Drokin 的攻击目标。他们将在下周的美国黑帽大会上首次公布这项研究,题为“2023 年电动汽车越狱或者说如何开启特斯拉基于 x86 的加热座椅”。
(资料图)
研究人员发现,只要能够物理接触汽车的娱乐和连接电子控制单元(ICE)板,就可以利用一种已知的电压故障注入攻击来绕过 MCU-Z 的 AMD 安全处理器(ASP)。博士生 Christian Werling 说:“目前,我们的攻击可以由具有一些电子工程背景、一个焊接铁和花大约 100 美元购买额外硬件的人来执行。我们建议使用一个 Teensy 4.0 开发板来进行电压故障注入,可以很容易地使用我们开源的攻击固件。还需要一个 SPI 闪存编程器,一个逻辑分析仪可以大大帮助调试整个攻击。”
Werling 解释说,电压故障注入不仅可以获得根访问权限并在 MCU-Z 上运行任意软件来解锁一些付费功能,而且这种访问权限几乎无法撤销。“虽然(电压故障注入)比纯软件攻击更难执行,但如果不升级 CPU,漏洞就无法修复。我们获得的根权限可以对 Linux 进行任意修改,这些修改可以在重启和更新汽车后保持不变。”
在成功执行故障注入攻击来绕过 ASP 后,团队能够逆向工程引导流程,最终提取出车辆唯一、硬件绑定的 RSA 密钥,用于向特斯拉内部服务网络进行身份验证和授权。
Werling 解释说:“系统上还有一个更高权限级别用于存储车辆连接特斯拉网络的密钥。使用相同的攻击和对基于固件的可信平台模块(TPM)进行复杂逆向工程,我们能够提取这些密钥。”
团队发现,拥有这些密钥可以为车主打开一系列额外的可能性,包括绕过地理围栏以获得高级功能。
独立研究员 Drokin 说:“特斯拉对一些功能进行了锁定,最常见的是地图。只有少数几个地区支持地图,如果车辆恰好在这些地区之外,用户就完全没有导航支持。”
他还指出,在北美的车辆可以使用 FSD Beta 功能,而欧洲的特斯拉汽车则不能,而这种攻击“可以帮助解除这些限制,尽管这需要更多的逆向工程。”
此外,有了特斯拉用来认证车辆的密钥,就可以将车辆的身份迁移到另一台车载电脑上。Drokin 指出,这在处理器损坏的情况下会派上用场。他解释说:“eBay 上的 Model 3 车载电脑价格在 200 到 400 美元之间,而特斯拉卖 1700 到 2700 美元(取决于型号)。如果只是重复使用 ICE 而不配置密钥,就会失去车辆的所有特斯拉服务,包括应用程序访问、软件和地图更新等。”
本文源自:IT之家