斯柯达大众Superb汽车漏洞挖掘

车联网漏洞挖掘斯柯达大众
2024-06-16 11:47
16192

产品描述

影响斯柯达和大众集团车辆的漏洞最初是在 2022 年生产的斯柯达 Superb III (3V3) - 2.0 TDI 中发现的。斯柯达速派是捷克汽车制造商斯柯达汽车自2001年开始设计和生产的D级(中型/大型)家用轿车。目前生产的第三代采用MQB平台。斯柯达速派 III 于 2015 年投入生产。

image.png

该车具有以下特点:

  • 带触摸屏显示器的 MIB3 信息娱乐单元 – 该单元由 Preh 制造,用于斯柯达和大众汽车

  • SmartLink 功能使汽车能够通过 Android Auto、Apple CarPlay、MirrorLink 以及其他可能的通信技术与车主的便携式设备进行通信

  • TCU 具有通过蜂窝网络实现的紧急呼叫(E-call)功能

汽车使用 TCU 和蜂窝通信通道保持在线、接收 OTA 更新并与 OEM 后端通信。

image.png

为了与他们的汽车进行通信,车主可以使用适用于 Android 和 iOS 的 MySKODA 应用程序。

image.png

所分析的由 Preh GmBH (www.preh.com) 制造的 MIB3 信息娱乐设备具有以下标识符:

  • Part number 3V0035820J 零件号 3V0035820J

  • Hardware version: H22 硬件版本:H22

  • Firmware version: 0304 固件版本:0304

image.png

MIB3 信息娱乐单元 PCB。A面

image.png

MIB3 信息娱乐单元 PCB。B面

突出显示的硬件组件包括:

  1. R-Car M3 主 CPU (ARM64) 执行主操作系统。拥有运行实时操作系统的专用核心 CARCOM,用于处理 CAN 总线通信。
  2. 带有 Linux FS 的 eMMC。
  3. 具有低级固件的 SPI 存储芯片。
  4. WLAN和蓝牙芯片。
  5. 电源控制器芯片(PWC),ARM32。

概括

PCAutomotive 发现了多个低至中危度的漏洞,允许潜在的攻击者访问 MIB3 信息娱乐单元的某些调试机制,并通过车载 Wi-Fi 网络造成拒绝服务。斯柯达和大众汽车的 OBD 界面也发现了某些问题。这些允许潜在的攻击者成功通过信息娱乐单元上的 UDS 身份验证。与 MIB3 装置相关的所有问题都会影响安装该装置的斯柯达和大众汽车 (3V0035820J H22 0304)。其他 MIB3 单元修改未针对已发现的问题进行测试。

OBD接口安全控制集中的另一个问题是允许发出UDS命令,导致车辆高速行驶时发动机和其他一些部件关闭。由于成功利用必须一次性访问车载OBD端口,且存在额外的利用限制,因此风险级别为中。此漏洞已在 Skoda Superb III 2022 上进行了测试。PCAutomotive 假设其他一些 Skoda 和 VW 车型也受到影响。PCAutomotive 没有受影响车型的详细列表。

最后,在斯柯达云后端发现了两个安全问题,这使得潜在的攻击者可以通过仅知道车辆的 VIN 号来获取用户昵称和一些车辆数据(里程、最近的行程持续时间、行程的平均和最大速度)。

image.png

技术细节

信息娱乐 ECU 上提供 SWD 调试接口

描述
IVI PCB包含NXP制造的电源控制器芯片(PWC)S9KEAZN64A。该芯片在其引脚上公开了有效的 SWD 调试接口。但调试接口受到保护:在调试芯片之前,需要对芯片内部存储器中存储的固件和配置进行擦除。尽管如此,在擦除操作后可以使用固件更新包中的固件对 PWC 重新编程,并获得对 PWC 的调试访问权限。

image.png

J-Link 调试器与 PWC 的连接

JTAG适配器,例如J-Link,可用于连接SWD接口:

image.png

PWC SWD 接口与 J-Link 适配器的连接

由于启用了写保护控制,该接口不允许调试。不过,它确实允许在擦除 PWC 芯片的内存内容后进行调试。稍后可以通过写回从公共来源获取的 PWC 固件或利用漏洞 CVE-2023-28895 来恢复内存内容。

利用场景和影响

能够物理访问信息娱乐单元的潜在攻击者可以解锁 PWC 芯片的 SWD 调试接口。这可能会导致攻击面略有增加。

CVE-2023-28895:用于访问 PWC 内存的硬编码密码

描述
信息娱乐单元的 PWC 芯片向单元的外部插座公开一个 UART 接口,支持以下调试命令:

 
'?'
/
'h'
:
 help screen

*
 
'a'
:
 adc

*
 
'c*'
:
 pwc config

*
 
'C'
:
 pwc counters

*
 
'e'
/
'ec'
:
 uart statistics

*
 
'fx...'
:
 fake message 
from
 cc

*
 
'Fc'
:
 
get
 flash crc

*
 
'ii'
/
'iw'
/
'ir'
:
 twi stuff

*
 
'm...'
:
 fake message to CARCOM

*
 
'M...'
:
 send debug input to CARCOM

*
 
'P1'
/
'P0'
:
 
switch
 main power ON
/
OFF

*
 
'p'
:
 port states

*
 
'PWC:'
:
 
switch
 
(
back
)
 to pwc rx mode

*
 
'Q'
:
 
switch
 to uart tunnel mode

*
 
'R1'
/
'R0'
:
 
switch
 cpu reset

*
 
'u'
:
 updater stuff

*
 
'v'
:
 version infos

*
 
't...'
:
 time stuff

*
 
'T'
:
 
print
 temperatures

*
 
'X...'
:
 force soft 
/
 sw 
/
 wd reset

通过连接 PWC 芯片和主 CPU 的 CARCOM 内核的另一条 UART 线向 PWC 芯片发送特定命令后,控制台即可使用。

利用场景和影响

能够物理访问信息娱乐单元的潜在攻击者可以通过向 CARCOM 核心和 PWC 芯片之间的另一条 UART 线路发出以下命令来解锁 PWC 芯片的调试 UART 控制台:

 
0x1D
 
0x01
 
0x01
 
<
CHECKSUM 
2
 bytes
>
 
0xF2
.

PWC 和 CARCOM 之间的 UART 线的测试引脚可以在信息娱乐系统 PCB 上找到:

image.png

将外部 UART 接口连接到 PWC 和 CARCOM 之间的 UART1 线

从调试控制台,可以访问 PWC 固件更新功能(控制台命令“u”)。该命令允许读取和修改 PWC 内存,从而提取其固件并将任意二进制代码写入内存。访问受到硬编码到 PWC 固件 (CVE-2023-28895) 中的密码保护。这可能会导致攻击面略有增加。

CVE-2023-28896:UDS 服务中密码的弱编码&CVE-2023-28897:UDS 服务的硬编码密码

描述
信息娱乐单元的 UDS 身份验证基于以下步骤序列:

1, 从信息娱乐单元请求随机值(种子)。

2,发送静态密码值和随机值的算术加法。

如果 CAN 总线流量包含成功的身份验证尝试,则可以通过使用简单的算术减法 (CVE-2023-28896) 从 CAN 总线流量中检索有效密码。除此之外,密码值被硬编码到信息娱乐单元的固件中(CVE-2023-28897)。

利用场景和影响

能够物理访问 OBD 端口的潜在攻击者可以轻松通过信息娱乐单元上的 UDS 身份验证并向其发出诊断命令。这可能会导致攻击面略有增加。

CVE-2023-28898:通过 Apple CarPlay 服务导致主机拒绝服务

当客户端通过 CarPlay 连接到车辆的 HU 时,端口 7000/tcp 上的 HTTP/RTSP 服务可用,错误地处理指定 id 参数的 /logs 场景的请求。

连接到同一无线网络的攻击者可以发送特制的请求,例如以下内容:

/
logs
?
id
=
0
 RTSP
/
1.0

Host
:
 
10.173
.
189.1
:
7000

在某些情况下,需要两个后续请求。

利用场景和影响
如果在信息娱乐单元和其他设备之间建立了 Apple CarPlay 接口,则有权访问车载 Wi-Fi 网络的潜在攻击者可能会导致信息娱乐单元拒绝服务。

CVE-2023-28899:通过 ECU 重置服务拒绝服务

描述
向车辆的OBD端口发送特定的广播UDS消息会导致车辆中的某些组件重置。结果,正在运行的发动机立即关闭,大多数车辆系统离线并停止运行几秒钟。方向盘和制动器仍然可以运行,或者至少在测试过程中没有检测到其功能中断。自上次打开行李箱或上次激活未公开的物理因素以来,可以在一定的短里程内实现影响。然而,攻击的车辆速度不受限制。然而,在这些条件下,攻击车辆的速度不受限制。

利用场景和影响

为了利用该漏洞,需要访问车辆的 OBDII 端口。一旦获得对 OBDII 端口的短期访问权限,攻击者就可以安装无线(蜂窝、Wi-Fi 或蓝牙)接口设备,获得对车辆诊断接口的持久访问权限,并能够在短时间内以任意速度关闭车辆发动机里程(10-20公里)。

CVE-2023-28900:后端汽车服务器上的昵称泄露&CVE-2023-28901:主机 fal-3a.prd.eu.dp.vwg-connect.com 上的行程数据泄露

描述
攻击者可以通过任意 VIN 号码接收 Skoda Connect 用户的昵称和其他标识符 (CVE-2023-28900)。此问题被归类为损坏的访问控制漏洞。攻击者可以在预期权限之外进行操作,从而获得有关车主的更多信息。

如果主要用户在车辆上注册,攻击者可以通过斯柯达车辆 VIN 号接收行程详细信息 (CVE-2023-28901)。此问题被归类为损坏的访问控制漏洞。攻击者可以在预期权限之外进行操作,从而获取有关行程时间戳、油耗、速度等信息。

利用场景和影响

远程攻击者可以通过向 Skoda 后端 API 端点发出某些请求来泄露 Skoda 车辆用户的数据,包括用户名以及有关其最近行程的信息。

image.png

通过 VIN 号码检索注册为车主的用户的用户名

image.png
通过VIN号检索斯柯达车辆的行程数据

免责声明

以上漏洞均已修复,文章供技术学习交流,切勿进行违法操作,否则后果自负

参与评论

0 / 200

全部评论 0

暂无人评论
投稿
签到
联系我们
关于我们