/ 安全研究

黑客是如何从T-Box接入车厂内网的?

黑客是如何从T-Box接入车厂内网的?

by: Jiahao Li

接入内网的意义

这里指的车厂内网包括了TSP内网,TSP的内网可能由车厂负责,也有可能是TSP供应商负责。通过对TSP内网渗透,可以获得车主的个人数据,篡改车主APP。对车辆下发篡改后的升级固件,批量远程控制汽车。实际研究成本和攻击效果,都要优于近场攻击。

telematics_services

SIM是什么?

SIM(subscriber identification module,客户识别模块)是一个能够安全储存移动通讯配置的IC。

然而,SIM卡是2G网络时代下的叫法,因为SIM由硬件和软件组成。而在3G时代,SIM变成了纯应用程序,和CSIM,USIM一样,可以运行在UICC里面,UICC(universal integrated circuit card,通用集成电路卡)就是我们手机里插的所谓SIM卡(SIM card),属于IC智能卡的一种,下图包含多种智能卡。

smart_card

SIM卡的叫法沿用至今,是不准确的,应该叫UICC,但是为了用户体验,厂商还是称作SIM卡,所以后面说的SIM卡就是指UICC智能卡。

SIM卡有数据存储的功能,存放了用来识别和验证客户端的配置信息。

  • ICCID(integrated circuit card identifier,IC卡识别码)
  • IMSI(international mobile subscriber identity,国际移动用户识别码)
  • [Authentication Key] 是GSM网络下的一个128位鉴权key,因为GSM算法存在漏洞,导致key被泄漏从而可以复制SIM卡。

在安全方面,SIM卡使用的是单向鉴权机制:在接入网络时只对SIM卡做身份认证,曾有黑客表示可以在短时间内远程控制任何一个SIM卡号码,甚至复制。而USIM卡使用的则是双向鉴权机制:通过AUTN(认证令牌)实现用户和网络的鉴权,接入网络时不仅对USIM卡进行身份认证,USIM卡同时也要对网络进行身份认证,因此可大幅提升破解难度,还能有效地识别或屏蔽伪基站,提升网络通讯的安全。

找回丢失苹果手机,就可通过查IMEI对应的ICCID锁定手机号,这个ICCID就是新插入SIM卡的识别码。

从SIM到E-SIM

SIM卡的IC包括CPU、ROM、RAM、EEPROM和I/O,尺寸也是越做越小,直到2016年出现的eSIM。

sim_card_iteration

Embedded-SIM/embedded universal integrated circuit card
嵌入式SIM(Embedded-SIM,又称eSIM,e-SIM),也叫做eUICC。是芯片格式的SIM卡,大多数采用SON-8封装。

SON-8

eSIM是下一代SIM卡技术,遵循GSMA(全球移动通信系统协会,GSM Association)规范,核心思想是将SIM卡硬件(eUICC)的生产与运营商数据(Profile)的生产分离。
运营商通过空中写卡方式将Profile下载,杜绝了被中间人攻击的风险。

优势:

  • 摆脱SIM卡限制,方便携号转网。
  • 包含其他安全信息,可以进行私有网络认证。
  • 弃用卡槽和IC卡。成本降低,节省空间。
  • 在运营平台就能开卡,压缩了制卡的流程。

局限:

  • 在移动设备上不支持双卡双待。
  • 目前国内集成eSIM卡的设备,普遍是由运营商或指定网络服务方牵头的,无法转网。

E-SIM在车联网的应用

ISP会给T-Box提供定制化的网络服务,也就是所谓的物联网卡,目前三大运营商都有物联网卡服务。目前大部分车厂使用的是联通智网。ISP为客户提供管理账号,可对SIM卡的套餐以及状态进行管理。

10646

为了方便计费和管理,T-Box可能需要配置APN(Access Point Name)才能正常使用车联网服务,这些车联网服务处于车厂内网或者TSP供应商内网。

T-Box供应商通常使用eSIM,而不是可插拔的SIM卡。一方面为了成本考虑,另一方面是为了安全。

tbox_internal

eSIM与4G通信模组相连。实际上eSIM和通信模组都是独立的,因此我们直接使用4G通信模组,也可以自己的设备上使用eSIM。

获取APN

网络配置信息在4G通信模组里,一般通过OTA的方式修改APN信息。

因此根据上图,获取APN有多种方式:

  1. 获取T-Box固件(MCU or SoC),从字符串或者配置文件提取。

apn_strings

  1. 嗅探MCU和通信模组之间UART实时数据

sniff_apn

  1. 对通信模组使用AT命令,获取当前APN配置

CGDCONT

IMEI绑定绕过

少数ISP会在写号时,将IMEI和ICCID绑定,一旦接入的IMEI和ICCID不匹配,则马上冻结号卡。因此需要在使用eSIM之前,将自己设备的IMEI修改成目标T-Box的IMEI。

最方便的是MTK平台手机,使用AT命令就能修改IMEI。当然也可以使用MTK烧录软件修改IMEI。

AT+EGMR=1,7,"phone1_IMEI"
AT+EGMR=1,10,"phone2_IMEI"

其次是华为4G路由器,需要刷机才能开启自定义功能,参考4pda - Huawei E5885

echo -e "AT^CIMEI=target_imei" > /dev/appvcom

高通平台手机,修改IMEI较为麻烦。可以使用CDMA Tools或者QPST这类写号软件修改IMEI。

E-SIM飞线

eSIM的引脚定义如下,VPP引脚可以不接。

esim_pin_assignment

可以使用SIM排线,避免直接飞线到卡槽上。

sim_connector

eSIM被固定在T-Box的PCB上,为了降低损坏风险,可以将e-SIM飞线到第三方通信设备上,记得给T-Box断电。

esim_jumpwire_xiaomi

最后成功接入内网,可对目标车联网进一步渗透

device_information

防御措施

对于设备本身,为防止拆车件被攻击者利用,建议绑定IMEI和ICCID,一旦检测到IMEI异常,则冻结号卡。另外,对车联网做好实名认证,及时销毁,确保该卡整个生命周期的安全。

对于内网安全,ISP应做好ACL策略,防止横向攻击其他T-Box。对ISP和车厂边界网络做好防护,及时对边界网络设备打补丁。

黑客是如何从T-Box接入车厂内网的?
分享