跳至正文
首页 » 博客 » 星舆实验室 – 车联网定位系统安全

星舆实验室 – 车联网定位系统安全

分类:安全技术   标签: 智能汽车, 信息安全   作者:陈华江


0x00 前言

大家好, 我是星舆车联网实验室 Kevin2600。星舆取“星辰大海, 舆载万物”之意, 是专注于车联网技术研究, 漏洞挖掘和工具研发的安全团队。团队成员在漏洞挖掘, 硬件逆向与AI大数据方面有着丰富经验, 连续在GeekPwn等破解赛事中斩获奖项, 并获众厂商致谢。团队研究成果多次发表于DEFCON等国内外顶级安全会议。

《中华人民共和国数据安全法》于9月1日起正式颁布施行。这部法律是数据领域的基础性法律, 将对政企机构的数据安全提出体系化要求。8月16日,国家网信办、国家发改委、工信部、公安部、交通运输部联合发布《汽车数据安全管理若干规定(试行)》,并将于2021年10月1日起施行。这是中国第一部针对汽车数据安全所制定的法规,首次对处理汽车相关重要数据、个人信息提出了具体要求。数据安全问题在资讯发达的今天显得尤为突出。商家在数据保护方面是否足够重视, 也成为人们评价一款产品优秀与否的标准之一。本篇将通过实战案例介绍车联网定位系统中的安全隐患, 以及会给个人或公司的隐私数据带来何种危害。

0x01 GPS物流管理系统

相信大家在提到汽车定位时, 首先想到的会是GPS系统。诚然GPS 给所有的司机朋友带来了方便。但GPS的应用不仅仅是指引道路, 在车队资产管理领域也同样大显身手。很多公司通过给汽车安装智能GPS定位器的方式来远程管理车队。管理人员坐在办公室也能很方便的通过管理平台进行物流管理。

目前国内现有车联网资产管理平台系统,多数使用JT/T808协议终端与平台之间的通讯协议。JT/T808全称为《道路运输车辆卫星定位系统终端通讯协议及数据格式》是由交通部牵头定制用于规定国内道路运输车辆卫星定位系统。协议规定了道路运输车辆卫星定位系统车载终端与车联网监管/监控平台之间的通信协议与数据格式, 包括协议基础、通信连接、消息处理、协议分类与要求及数据格式。

然而研究发现公网上可以找到大量此类管理平台系统, 使用默认密码或弱密码的现象仍然非常普遍。攻击者可获取目标汽车的实时运动轨迹、历史运动轨迹等信息。甚至可以远程控制车辆。

在2020 Geekpwn 破解大赛中, 星舆实验室的研究人员成功利用越权漏洞, 远程对一辆正在正常行驶的车辆进行断油攻击。

0x02 GPS 信号欺骗

GNSS全球定位系统本身非常复杂, 涉及到卫星通信等各个领域。主要分为美国的GPS; 中国的北斗; 俄罗斯的Glonass 和欧洲的伽利略。我们通常所说的 GPS 全球定位系统是由美国国防部建造完成。目前在太空中共有31颗卫星在同时运作. 一般我们需要至少4颗卫星来完成三角定位。GPS卫星同时发送民用L1和军用L2两种无线信号. 我们使用的是没有加密的L1民用 1575.42MHz 的超高频波段. GPS 信号里包含了3种常用信息, Pseudorandom code: 简单的ID 码, 用来识别每颗卫星。Almanac data: 包含有每颗卫星的轨道信息, 以及卫星在某个特定时段将出现的具体位置。Ephemeris data: 包含卫星的运行状态, 时间日期等信息. 这在通过卫星来定位起到非常重要的作用.

通过软件无线电SDR 伪造GPS 数据早已是人尽皆知的秘密。民用GPS系统无需认证也没有加密, 只需将伪造地点的经纬度生成一个包含星历、时间和GPS坐标的仿真数据, 在通过SDR发送出去即可。下图为星舆研究人员在对某款汽车T-BOX 进行GPS欺骗测试。

很多汽车外部带有鲨鱼角, 其中就包含GPS 接收天线。我们只要将八木定向天线对其发送伪造GPS信号便可实现针对整车的欺骗效果。

以下是GPS欺骗演示视频, 可以看到我们成功欺骗了GPS 导航系统。让明明是停在地下车库的捷豹汽车误以为在长城附近。

一个来自以色列的安全公司通过类似的方式, 成功欺骗了特斯拉的NOV自动驾驶系统。必须说明在无封闭道路中, 进行攻击测试非常危险, 不建议效仿。

有趣的是曾经一名行为艺术家利用99台手机, 同时向GPS地图查询软件发送请求, 使得地图服务器误以为出现了交通混乱。

0x03 意外的“泄露”

事实上可以用来定位的不只是GPS设备。司机朋友对TPMS胎压监测设备一定不陌生。大多数汽车的每个轮胎都自带或后装有一个监控胎压状态的小设备, 当汽车的轮胎出现问题或漏气的时候, 我们可以通过TPMS 及时获取警告以便做出反应。然而很多人不知道的是这个小设备每隔一段时间就会通过无线电会向外广播一串独特的ID识别号。此ID号本意是用来跟车机系统通讯的, 但因为绝大多数的TPMS设备都是以明文的方式传输, 别有用心的人可通过此ID号作为追踪目标的辅助手段。如下图星舆路测人员通过HackRF 无线监控附近的TPMS ID 信号。

作为业界的翘楚的特斯拉, 在用户隐私保护方面并没有起到带头作用。德国安全研究员Martin Herfur 就对Tesla Model 3 提出了隐私泄露隐患的质疑。Martin 研究发现Tesla Model 3 通过蓝牙 iBeacon 技术不断对外明文广播一组特殊的ID号. Tesla 将其作为实现手机APP门禁系统的重要参数,但用户并没有权限改变或者关闭这组特殊ID号, 这就给有心人士造成了可趁之机. 只要通过扫描捕捉这组ID号, 就可实现对Tesla Model3 车主的跟踪。星舆实验室的研究人员对此展开相关测试研究。下图为星舆研究人员, 在对Model3蓝牙ID信号进行跟踪测试。

在做了大量测试后, 发现Model3 确实存在通过广播特殊ID, 造成隐私泄漏的问题。并且成功定位了几辆经常出现在附近小区的车主.

那么究竟这个特殊的ID 号是什么呢? 这就需要我们首先了解下什么是iBeacon. 它是最早由苹果公司发明的一项通过蓝牙广播, 专门用于跟物理世界进行交互的技术. 主要应用场景为室内定位等。

苹果公司同时定义了iBeacon 广播的数据格式. 其中包含了UUID, Major, Minor, TX Power 这几个重要参数. 首先UUID 为16 字节的字符串,这组字符串主要是用来区分各个不同的厂家. 比如TESLA 的UUID 为(74278bda-b644-4520-8f0c-720eaf059935). 这组UUID 可以从逆向特斯拉雷达APK 文件中找到。

接下来的Major 为2 字节的字符串, 通常用来定位发送方的区域或类型. 随后的2 字节字符串Minor 主要用来区域中具体定位. 而TX Power 顾名思义则是通过信号强弱来识别与车主的距离. 当然厂家可以根据实际需求重新定义具体用途. 而Tesla Model3 的特殊ID 号则在蓝牙设备名字项出现, 如下图中的S7120a62f34cd8018C。

0x04 总结

随着汽车智能化程度逐步提高, 汽车不再只是一个简单的交通工具,联网功能的完善使得汽车成为收集周围环境视频信息; 个人隐私信息; 车辆状态的海量移动重要数据采集器。文章所暴露出来的问题仅是冰山一角, 需要得到的足够重视。星舆实验室也将继续深入研究为大家的出行安全保驾护航。

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注