用自製硬體在90秒內解鎖特斯拉汽車的駭客,這回花25元美金就駭掉馬斯克的星鏈終端

用自製硬體在90秒內解鎖特斯拉汽車的駭客,這回花25元美金就駭掉馬斯克的星鏈終端

ADVERTISEMENT

 

被馬斯克引以為傲的「星鏈(Starlink)」,駭客竟然只需25元美金就能輕鬆攻破? 

沒錯,一位比利時的安全研究員在今年的黑帽大會(Black Hat Conference)上公開演講展示了自己是如何做到的。 

用自製硬體在90秒內解鎖特斯拉汽車的駭客,這回花25元美金就駭掉馬斯克的星鏈終端

他自製了一個可以連接到星鏈終端的定制駭客工具,而這款工具的基礎,是一種名為「modchip」的電路板,售價不到台幣800元。 

連接到星鏈終端後,該自製工具就能發起故障注入攻擊,導致系統暫時短路以繞開星鏈安全保護機制,進而成功侵入星鏈系統中原本鎖定的部分。 

目前,這位安全研究員已將該工具在GitHub上開源發佈,並分享了關於攻擊方式的一些細節。  

如果做到攻擊?

星鏈,是馬斯克旗下SpaceX公司推出的一項衛星網路服務。 

它的網路系統由三個主要部分組成: 

負責實現訊號覆蓋的衛星、將網路連接發送到衛星的閘道(Gateway),以及使用者購買安裝的Dishy McFlatface衛星天線。 

來自比利時魯汶大學的安全研究員雷納爾‧沃特斯(Lennert Wouters)的研究,主要集中在這些使用者終端(天線)上。 

用自製硬體在90秒內解鎖特斯拉汽車的駭客,這回花25元美金就駭掉馬斯克的星鏈終端

他解釋道: 

站在攻擊者的角度,首先想到的自然是攻擊衛星本體,也就是構建自有系統與衛星通訊。但這顯然非常困難。所以要想成功攻擊,最好能借助於使用者終端,這樣很多難題就迎刃而解了。

為此,沃特斯改造了他購買的一個星鏈天線,用「熱風槍、撬棒、異丙醇再加上極大的耐心」取下天線上的金屬蓋,逐一分析星鏈終端的內部元件。 

在直徑達59公分的金屬蓋下,隱藏著一個大型PCB。 

其中的片上系統包括一枚定制化四核的ARM Cortex-A53處理器,由於架構未經公開所以破解難度極大。板上的其他元件還包括射頻設備、以太網供電系統和GPS接收器。

用自製硬體在90秒內解鎖特斯拉汽車的駭客,這回花25元美金就駭掉馬斯克的星鏈終端

親手拆解之後,沃特斯逐漸弄清了星鏈終端是如何啟動、又是怎樣下載韌體的。為了進一步設計定制的modchip,沃特斯掃描了星鏈天線並找到了最適合當前星鏈電路板的設計方案。 

他設計的modchip需要透過幾根線纜被焊接到星鏈PCB上,modchip本體則由樹莓派微控制器、快閃記憶體、電子開關和穩壓器組成。 

有趣的是,在設計這塊終端電路板時,星鏈工程師們在其上印製上了「人類製造於地球」(Made on Earth by humans)的字樣。 沃特斯則在自己的modchip上幽默了一下,印上了「人類在地球上製造的故障」(Glitched on Earth by humans)。 

為了接入終端軟體,沃特斯的定制系統會透過電壓故障注入攻擊繞過安全保護機制。 

在星鏈天線開啟時,會經歷多個不同的引導程式載入階段。沃特斯的攻擊指向第一個引導載入程式(即ROM引導載入程式),此程式是被燒錄到片上系統的,因此無法更新。 攻擊成功後,他會在接下來的其他引導載入程式上修改韌體,進而奪取對終端天線的控制權。 

沃特斯解釋道:「整體來看,最理想的攻擊切入點就只有兩個:簽名驗證,或者雜湊驗證。」 

他的方法指向的正是簽名驗證過程。「工程師在設計的時候會努力避免短路,但我們的攻擊方法卻是在刻意利用短路。」 

最初,沃特斯本打算在啟動週期結束時(即Linux作業系統全部載入完成)再向晶片注入故障,但最終發現搶在啟動開始時注入才是正確的想法。沃特斯表示,這種方式的可靠性更高。 

為了注入故障,他必須讓負責平滑電源的去耦電容停止工作。所以,沃特斯攻擊方案的實質就是先禁用去耦電容,再運行故障以繞過安全保護,最後重新啟用去耦電容。 

經此過程,沃特斯就能在啟動週期之內篡改並運行星鏈韌體,最終獲得底層系統存取權限。 

用自製硬體在90秒內解鎖特斯拉汽車的駭客,這回花25元美金就駭掉馬斯克的星鏈終端

除此之外,沃特斯指出,在他研究期間,星鏈方面也做出過回應,表示願意向他提供研究員等級的設備軟體存取權限,但被他拒絕了。 

雖然他設計的定製版modchip已經公布在GitHub上,但沃特斯並沒有出售modchip成品的打算,也從未向他人提供過篡改後的使用者終端韌體,或者利用此漏洞的確切細節獲利。 

星鏈回應

在Wouters的Black Hat會上演講結束後,星鏈方面發佈了一份六頁的PDF,解釋了其系統保護的思考方式,文章提到: 

我們意識到這是一種令人印象深刻的高水準攻擊想法,也是我們在系統中發現的首例此類攻擊。這讓我們認識到,能夠實際侵入星鏈終端的攻擊者可以借此奪取存取權限、實施惡意活動。因此,我們將依靠「最低許可權」設計原則限制這類攻擊產生廣泛影響。 

 用自製硬體在90秒內解鎖特斯拉汽車的駭客,這回花25元美金就駭掉馬斯克的星鏈終端

星鏈方重申,此攻擊需要對使用者終端進行實體存取,並強調對安全啟動系統注入故障只會影響到當前設備。整個星鏈系統的其餘部分不會因此受到影響。 

換言之,普通星鏈使用者無需擔心受此攻擊影響,也無需採取任何應對措施。 

One More Thing

除了設計出攻擊星鏈的駭客工具,這個比利時安全研究員之前還曾攻破過特斯拉高階車款Model X的安全性漏洞,創下了「用自製硬體在90秒內解鎖特斯拉汽車」的記錄,並迫使特斯拉推出了一系列修復方案。 

在示範的影片裡,研究人員只用台幣萬元左右,就可以用電腦DIY一個「車鑰匙」,90秒打開車門,不到幾分鐘,就能把車開走。 

特斯拉引以為傲的無鑰匙進入,變成了真正字面意義上的「無鑰匙進入」。 

用自製硬體在90秒內解鎖特斯拉汽車的駭客,這回花25元美金就駭掉馬斯克的星鏈終端

特斯拉、星鏈……不知道他的下一個目標是哪家公司? 

資料來源:

使用 Facebook 留言

發表回應

謹慎發言,尊重彼此。按此展開留言規則