從投影機裡播放出來的一段影片,駕駛雙手離開方向盤、雙腳離開煞車,但是車子卻還可以有人從遠端,遙控車子前進;甚至於,有一段影片畫面則是,沒有人坐在駕駛座中開車,但卻看到車子直直的往路旁設置的路障撞上。
「轟」的一聲,畫面讓人感到驚險之餘,也驚醒上千名湧進會議室、聆聽資安專家Charlie Miller和Chris Valasek說明他們如何駭入克萊斯勒吉普車(Jeep Cherokee)的聽眾,會議過程中,更經常響起不絕於耳的如雷掌聲。
這是全球最盛大資安大會黑帽大會中最受歡迎的演講場次之一,Charlie Miller和Chris Valasek發表他們最新的資安研究,藉由入侵克萊斯勒吉普車中的娛樂系統Uconnect System,駭客就可以遠端操控收音機、測速器、雨刷、方向盤及煞車系統。
Charlie Miller和Chris Valasek在黑帽大會中,彰顯了車聯網的脆弱,並贏得Jeep Hacker(吉普車駭客)的稱謂。飛雅特克萊斯勒公司更決定全球召回140萬輛汽車,成為第一家 因為網路漏洞而宣布召回的車廠。
資安專家Charlie Miller和Chris Valasek在黑帽大會上揭露如何入侵克萊斯勒吉普車的手法,而此次因為該漏洞必須召回的車輛更高達140萬輛。
不只如此,車聯網的安全更是緊接著在DEF CON資安會議中的亮點。同樣有2名資安專家Marc Rogers和Kevin Mahaffey在現場發表如何駭入電動車Tesla S的過程,在入侵過程中他們也發現,Tesla在設計時,將與行車安全相關的方向盤與煞車功能,和其他車載系統做區隔,即便駭客可以遠端控制Tesla電動車,駕駛還是可以透過掌握方向盤和煞車功能確保行車安全。
而Tesla技術長JB Straubel更率領與揭露漏洞相關的工程師,到場全程聆聽兩名資安專家如何發現Tesla S漏洞的過程,甚至於,JB Straubel宣布該公司已經推出漏洞修補程式時,更上臺舉杯向兩名資安專家致謝。
不過,Marc Rogers和Kevin Mahaffey找到Tesla S的漏洞並證實可以入侵後,Tesla則發揮電動車的優勢,他們不需要像其他傳統車廠,例如克萊斯勒一樣,必須召回受駭車輛回廠維修,而這也是發現Tesla漏洞的資安專家認為,電動車不同於其他款汽車最大的優勢。
他們認為,當Tesla在發現電動車上的軟體、系統有任何漏洞後,都可以在完成漏洞程式撰寫後,直接透過Over The Air(OTA)的方式,更新電動車的軟體,大幅提高電動車更新軟體的速度與安全性。
娛樂系統連網,成為駭客入侵克萊斯勒吉普車的起點
在美國,有各種如何駭入汽車的研究,從2009年開始,更陸續有各種研究報告出爐,只不過,相關的研究報告都對汽車產業起不了任何影響力,最關鍵的原因在於,這些入侵汽車的手法,都必須要設法和汽車的系統實體連結後,才能發揮操控汽車的效果。因此,多數汽車公司並不在意駭客如何駭入汽車的研究報告。
但是,汽車業者對於汽車安全的信心,卻在Charlie Miller和Chris Valasek揭露克萊斯勒吉普車的漏洞後,宣告破滅。兩位資安專家對外揭露,透過入侵汽車內建的娛樂系統Uconnect System,除了可以遠端遙控汽車的風扇大小、收音機開關、門鎖開關、雨刷運作、更換儀表板中的畫面和變速系統,甚至可以遠端關掉汽車引擎、造成半路熄火等等,更可透過遠端實際操控方向盤和煞車系統,實現汽車業者最害怕的惡夢。
以往,汽車沒有連網時,駭客必須先有實體線路接觸才能操控汽車,但是,當克萊斯勒開發一款名為Uconnect System的車載資訊娛樂系統(In-Vehicle Infotainment,IVI)提供娛樂、手機連結、導航、語音控制功能,還可以透過Uconnect Access Via Mobile的App,允許駕駛者可以利用行動網路,存取支援Uconnect System的應用程式。
克萊斯勒開發的Uconnect System安裝在該品牌旗下的汽車、吉普車或卡車上,Charlie Miller和Chris Valasek找到Uconnect Systemt的安全漏洞進行攻擊,成為駭客取得汽車控制權的路徑之一。
找到可以和汽車內部系統溝通管道的漏洞,就可以操控汽車
既然鎖定娛樂系統,他們先就得設法駭入汽車內部網路(CAN),才能取得操控權。因此,克萊斯勒從2014年開始提供付費無線網路服務(In-Car Wi-Fi),駕駛支付無線網路費用後,就可以透過 Uconnect System上網,這就成為他們第一個嘗試入侵的系統。
在這個破解的過程中,首先發現這個車上的無線網路系統,多數使用者選擇更容易被破解的WEP密碼,甚至選擇沒有加密功能的密碼。但即使使用者選擇密碼強度較強的WPA2加密方式,駭客也可以使用暴力破解的方式破解密碼。更有趣的是,Charlie Miller和Chris Valasek發現,克萊斯勒車子採用的WPA2加密演算法和車子系統內建的時間息息相關,這個演算法更容易破解車子無線網路系統的密碼。
首先,他們發現克萊斯勒吉普車並沒有預設任何時間,都是開啟車子的娛樂系統後,系統再從GPS和手機無線基地臺的資訊設定當下的時間。因此,Charlie Miller和Chris Valasek便手動將系統時間設定為格林威治時間2013年1月1日0點0分0秒,他們發現,密碼在車子系統時間設定完成時,就是系統預設時間加上幾秒就確定了,最後確認密碼在32秒後就已經生成了。
藉由無線網路入侵娛樂系統後,Charlie Miller和Chris Valasek開始掃描通訊埠(Port Scan),竟然找到一個常用於IRC(網路聊天室)的通訊埠:6667埠,但這不是用來網路聊天,而是和D-Bus溝通的通訊埠,這是一個D-Bus Over IP的服務,也可以進行汽車不同應用系統間的溝通(Inter-Process Communication,IPC)和作為遠端呼叫系統(Remote Procedure Call,RPC)之用。
D-Bus服務可以與汽車所有系統溝通,但這個具備高權限的服務,卻沒有一套嚴謹的認證程序,甚至,只要是匿名連線的使用者都可以成功和系統連線,此時,Charlie Miller和Chris Valasek則寫了幾行的Python程式和D-Bus服務連線,就可以控制娛樂系統和座標導航系統。
不過,並不是所有的車主都會付費購買這樣車內的無線網路服務,Charlie Miller和Chris Valasek發現,這個娛樂系統除可透過無線網路連線外,也使用 Sierra Wireless AirPrime AR5550晶片組,使用高通公司的3G晶片和Sprint公司的行動網路連線,他們則使用Sierra Wireless Software Development Kit無線網路軟體開發套件開發系統功能和除錯之用。
他們進一步解釋,這個3G網路在每次汽車開動時,就會從Sprint行動網路重新分配一個新的IP位址,就是D-Bus服務用來和行動網路業者通信的管道。而Charlie Miller和Chris Valasek則在網路拍賣市場上購買一臺Sprint Airave的裝置,並利用這個裝置所公開的一個漏洞,鎖定汽車IP位址並連網進入D-Bus服務。他們認為,這就是一個駭客可以用來攻擊汽車的管道。這個漏洞一經揭露後,行動網路業者Sprint立即修補該漏洞,避免其他使用該晶片組和行動網路的車廠,遭到駭客掌握同樣漏洞。
但是,要做到遠端遙控汽車,這樣還不夠!雖然娛樂系統的控制器本身沒有辦法和車內網路CAN的系統直接溝通,卻可以透過晶片組上的瑞薩控制晶片V850溝通,而這樣的晶片組就是一臺具有ARM處理器的小型電腦,只要利用控制晶片的漏洞並重新改寫控制晶片的韌體,就可以在沒有授權的情況下,掌握車內網路CAN的系統,進而操控這些行車系統。因為Charlie Miller和Chris Valasek藉由重新改寫控制晶片的韌體,完全掌握汽車行控系統。
也就是說,駭客就可以透過無線網路入侵娛樂系統,並從娛樂系統的6667通訊埠與D-Bus服務溝通,藉由改寫瑞薩控制晶片的韌體,可以直接和行車系統溝通並取得控制權。
克萊斯勒召回受駭車款140萬臺,回廠檢修才能修補漏洞
透過Charlie Miller和Chris Valasek的漏洞揭露,克萊斯勒公司股價受到相當大的影響,最後只得宣布召回140萬臺車輛檢修。除了此次揭露的吉普車外,受駭車種包括:2013年~2015年的Ram小貨車和道奇Viper跑車,2014年和2015年的道奇Durango 、Jeep Grand Cherokee和Cherokee休旅車,2015年的克萊斯勒200型和300型汽車,以及道奇Charger和Challenger。
但是,克萊斯勒如果要修補這樣的遠端遙控的漏洞,必須實體召回汽車後,由維修人員將修補軟體安裝在隨身碟中,並將隨身碟插入受駭車輛的娛樂系統,才能透過車輛娛樂系統安裝修補軟體,藉此提升相關車輛娛樂系統的安全性。這樣的漏洞若沒有回廠進行修補,將持續存在,駭客仍可透過相同的手法,遠端遙控車子的方向盤和煞車功能。
透過滲透測試手法,挖掘Tesla S電動車6個零時差漏洞
到2020年,全球將有250億個裝置連網,其中,包含農業、汽車、醫療裝置、化學和工業控制系統等,都會是主要連網的裝置。而汽車產業在電動汽車興起後,Marc Rogers和Kevin Mahaffey則認為,電動車業者Tesla其中的Tesla S車款,更將是未來汽車發展的原形,未來其他汽車也將和Tesla S越來越像,勢必跟隨Tesla S的演進,才能跟得上時代的脈動。
兩位資安專家首先利用滲透方式的手法,找尋Tesla S的漏洞,包括:硬體、無線通訊、網路、瀏覽器、Linux作業系統、程式逆向工程、通訊埠逆向工程和客戶工具研發等層次。他們最終找到6個零時差漏洞,最終可以藉此掌控電動車的操控系統。
資安專家Marc Rogers和Kevin Mahaffey在DEF CON揭露Tesla S零時差漏洞,而Tesla公司則在DEF CON的Car Hacking Village提供Tesla車子,供所有資安人員現場摸索、嘗試破解。
逐步靠漏洞提高系統存取權限,最終可和行車系統溝通
雖然和入侵克萊斯勒吉普車一樣,Marc Rogers和Kevin Mahaffey同樣也必須事先取得車載娛樂系統的最高權限(Root),一切都可以透過17吋螢幕大小的儀表板進行操控。
不過,他們強調,和其他汽車入侵手法不一樣,他們雖然沒有辦法像是電影般的透過實體線路連結去掌控車子,卻可以藉由將實體電腦與儀表板連結,並透過網路植入木馬程式後,再控制電動車系統。
Marc Rogers和Kevin Mahaffey在駭入Tesla的過程中,可以藉由手機上的攻擊程式控制電動車的功能,做到本地端和遠端的操控,最終可以掌控電動車幾個重要的功能,包括引擎熄火、開關車門、開關天窗、開關前後行李箱(因為電動車前行李箱不用放引擎系統,所以有前後兩個行李箱)、開關汽車頭燈、開關汽車閃燈、升降懸吊系統、控制空調和控制喇叭聲音大小等。
Marc Rogers和Kevin Mahaffey便舉例,在入侵車載娛樂系統後發現,內建的瀏覽器是舊款瀏覽器,包含蘋果公司的WebKit漏洞,該漏洞可以讓駭客獲得較高的權限,可以藉此存取其他的系統。而這樣的漏洞,Tesla已經在作業系統的漏洞修補程式中完成修補。
在拆下儀表板後可以發現,其中有2套系統,一套是提供駕駛行車時的各種資訊系統,這是一套Linux的作業系統,提供瀏覽器供駕駛使用;另外一套則是透過閘道器(Gateway)和行車系統溝通,可以做到升降懸吊系統、開關車門、開關前後車箱等功能。Marc Rogers和Kevin Mahaffey表示,這個儀表板包含娛樂系統在內,都不會直接和汽車的行車系統溝通,也提升其安全性。
駭客無法遠端控制方向盤和煞車系統,確保行車安全
要駭入Tesla S,主要都是透過每一個不一樣的漏洞,逐步提高駭客的存取權限,他們指出,這樣的漏洞往往都是常見的網路和系統漏洞,多數人不見得會特別留意。但是,當每一個漏洞都可以提高權限時,最終讓Marc Rogers和Kevin Mahaffey可以掌握車用娛樂系統,並獲得可以和行車系統溝通的權限。
另外,許多駕駛都會仰賴儀表板提供的車速作為行車參考,Marc Rogers和Kevin Mahaffey則可以透過漏洞,竄改儀表板上的車速資訊,讓駕駛開車變得不安全。
但是,要進入車子的內網系統(CAN),Marc Rogers和Kevin Mahaffey最後則是利用安裝可以遠端操控的木馬程式,並使用手機遠端登入汽車的系統後,就可以切斷電源。
但是,Marc Rogers和Kevin Mahaffey在入侵的過程中則發現,即便駭客可以從遠端操控車子的行進,但在最後危急時,車子的煞車系統和方向盤還是可以人為操控,這也杜絕克萊斯勒吉普車遠端入侵的風險。
Tesla技術長領軍工程師到場聽漏洞揭露過程,彰顯重視資安決心
臺灣阿碼證點執行長黃耀文在現場聆聽Marc Rogers和Kevin Mahaffey如何駭入Tesla S的演講時,他也觀察到,由技術長JB Straubel帶領與此次揭露漏洞相關的工程師,不僅占據舞臺前的兩排座位,工程師們更是全場專注聆聽兩名資安專家分享,他們如何挖掘Tesla S總計6個零時差漏洞的過程。
黃耀文認為,從技術長親自領軍、工程師專注聆聽的過程,可以彰顯Tesla如何重視被資安專家揭露漏洞的漏洞,「這是一種企業積極面對漏洞的態度,」他說,唯有如此,企業才可能做到真正重視資安,而不只是做表面工夫而已。
因為Tesla是軟體公司,黃耀文說,Tesla在許多功能設計上,思維便和傳統的汽車製造業有很大不同,不會為了將就硬體而改變軟體功能。他也發現,資安專家在臺上說,Tesla的煞車系統和方向盤在危難時仍可以人為操控,避免駭客遠端操控的危害時,就看到有臺下的工程師拍著胸脯,好似慶幸當初做了這樣的決定,最終可以確保駕駛者行車時的安全。他說:「這就是軟體工程師可以針對功能需求,不必遷就硬體而可以達到的境界。」
除了工程師到場外,Tesla技術長JB Straubel也在親自登上舞臺上宣布,該公司已經完成相關漏洞的修補,為了感謝兩位資安專家揭露TeslaS零時差漏洞,甚至現場舉杯敬酒,感謝他們讓Tesla未來可以更安全。
為了感謝資安專家Marc Rogers(圖左三)和Kevin Mahaffey(圖右一舉杯者)揭露Tesla S資安漏洞,Tesla技術長JB Straubel(圖左四)更親自舉杯敬酒致意。(圖片來源/黃耀文)
黃耀文認為,Tesla的本質不是傳統的汽車製造業,從這場演講中,完全證明Tesla就是一間軟體公司,最好的例子就是,Tesla的漏洞修補方式採用手機軟體更新最常使用的OTA(Over The Air)升級方式,使用者只要在儀表板上看到更新訊息,按下確認後,就可以完成漏洞修補和系統升級。
這樣便利的漏洞更新方式,比一些手機或電腦軟體更新速度更快,甚至直接打敗必須召回檢修才能更新漏洞的傳統車廠,也難怪,Marc Rogers和Kevin Mahaffey認為,未來所有的汽車發展都將跟隨Tesla的作法。