特斯拉作为电动车领域的先锋,一直在安全性、自动驾驶和数字系统方面不断创新。然而,正如任何复杂系统一样,漏洞可能会出现。
在 2024 年 Pwn2Own 黑客大赛上,来自 Synacktiv 的网络安全研究人员 David Berard和Thomas Imbert 发现了特斯拉 Model 3 中的一个关键漏洞,具体位于其胎压监测系统(TPMS)。该漏洞使研究人员能够在车辆的防盗系统上远程执行代码,这引发了人们对现代联网汽车及其通信网络安全性的担忧。
01.发现:针对特斯拉 Model 3 的攻击链
1.1 VCSEC 系统介绍
TPMS(轮胎压力监测系统)是现代车辆安全的重要组成部分,通过实时监测轮胎压力,确保驾驶员能及时获知轮胎异常。Tesla 的 VCSEC(车辆控制安全单元)是处理包括 TPMS 在内的重要通信接口的核心组件。如图展示了 Tesla 车辆控制单元(VCSEC ECU)的架构及其功能与连接性特点。
*这些功能和连接特性共同构成了 VCSEC ECU 的核心能力,使得特斯拉车辆能够实现智能化的控制和监控,提升用户体验和安全性能。
1. VCSEC ECU:VCSEC ECU (Vehicle Control Security) 是特斯拉车辆安全架构的核心组件,负责管理车辆访问、启动权限、远程控制等功能。
2. TPMS 传感器:TPMS 传感器 (Tire-Pressure Monitoring System) 用于监测轮胎压力和温度,是新车辆的强制要求。确保车辆安全行驶。早期使用 433 MHz 无线电,现采用蓝牙低功耗。通过 BLE GATT 特性进行,使用特定的 GATT 服务。
3. BLE 和 UWB 连接:TPMS 传感器和 VCSEC ECU 通过 BLE (Bluetooth Low Energy) 和 UWB (Ultra Wide Band) 技术进行无线连接,传输数据。
Berard 和 Imbert 展示了他们如何利用特斯拉 Model 3 胎压监测系统(TPMS)的无线通信来在防盗系统的电子控制单元(ECU)上远程执行代码,该关键组件被称为 VCSEC。该单元控制着与智能手机的交互以实现解锁和启动汽车等关键功能,同时还协调 TPMS 的操作。
1.2 漏洞解析
研究揭示了 Tesla 的 VCSEC ECU 在处理 x509 证书时的整数溢出漏洞。该问题源于证书响应的解析,数据在未充分验证 start_index 的情况下进行拷贝,导致缓冲区外写入(Out-Of-Bounds Write)。这使得攻击者能够利用此缺陷重写内存结构,从而控制函数指针并跳转到恶意代码。
1. x509 证书分片:VCSEC ECU 在处理 TPMS 传感器证书时,会将其分片发送,并通过 Protobuf 消息传输。
2. 整数溢出:VCSEC ECU 在验证证书分片时存在整数溢出漏洞(integer overflow),导致越界写操作(OOB write),攻击者可以利用该漏洞控制程序流程。
3. 漏洞触发条件:攻击者需要伪造 TPMS 传感器,并通过 BLE 广播消息与 VCSEC ECU 建立连接,然后发送精心构造的证书数据触发漏洞。利用过程如下:
3.1 TPMS 传感器自动学习机制:特斯拉车辆支持 TPMS 传感器自动学习功能,用于识别和添加新的传感器。
3.2 伪造 TPMS 传感器:攻击者可以使用 ESP32 开发板伪造 TPMS 传感器,并模拟 BLE 广播消息。如图展示了如何在 Tesla Model 3 中利用 TPMS(轮胎压力监测系统)漏洞进行攻击的流程和概念验证。
关键技术点:
- 攻击者需要利用 BLE(低功耗蓝牙)设备,如 ESP32,来实现 TPMS 信号的伪造和广播。
- 在车辆启动自动学习模式时,攻击者通过伪造的新 TPMS 设备获得 VCSEC 的连接,绕过了 UDS 配置的限制,从而利用漏洞进行攻击。
3.3 控制程序流程:攻击者通过发送精心构造的证书数据触发整数溢出漏洞,控制程序流程,最终执行任意代码。如图解释了攻击者如何利用特斯拉 Model 3 的轮胎压力监测系统(TPMS)在车辆控制安全控制单元(VCSEC)中实施远程代码执行(RCE)。
3.4 发送 CAN 消息:攻击者可以利用漏洞发送 CAN 消息,控制车辆行为,例如解锁车门、启动引擎、刹车等。
漏洞出现在 VCSEC 所使用的多个通信接口中。TPMS 传感器和智能手机均通过蓝牙低功耗(BLE)与 ECU 通信,这为潜在入侵提供了攻击面。此外,智能手机还可以使用超宽带(UWB)接口来增强与车辆的通信。研究人员能够利用无线 TPMS 系统突破防盗 ECU,展示了现代车辆复杂而相互连接的特性。
这项研究是 2024 年 1 月举办的知名 Pwn2Own 黑客大赛的一部分,该比赛旨在发现并向制造商负责任地披露各种技术的漏洞。尽管 Synacktiv 的完整研究尚未公开,但他们已提供了关于这些漏洞如何发生及其对车主和制造商潜在影响的见解。当下特斯拉已经发布了修复该漏洞的固件更新,并建议用户及时更新。
02.胎压监测系统(TPMS)漏洞:这意味着什么?
特斯拉汽车中的胎压监测系统(TPMS)在驾驶安全中发挥着至关重要的作用,它能够持续监测胎压并提醒驾驶员任何异常情况。令人担忧的是,这一看似无害的 TPMS——现代汽车中常见的功能——竟然可以被利用来实现恶意目的。在这种情况下,黑客可以利用 TPMS 的无线通信作为攻击其他关键车辆系统的入口,最终控制防盗系统及其他核心功能。
特斯拉 Model 3 高度依赖复杂的电子控制单元(ECU)来管理其系统,由于其互联特性,攻击面更为广泛。研究表明,攻击者可能远程解锁和控制车辆的重要功能。尽管尚未出现此类恶意事件的报告,这一发现提醒我们,无论组件初看起来多么普通,都应确保联网汽车中所有部件的安全性。
03.保障联网汽车安全的重要性
随着电动汽车(EV)和自动驾驶技术的兴起,汽车正日益成为“车轮上的计算机”。因此,它们面临着日益增加的网络安全威胁。尽管便利性和创新是这场技术革命的核心,但它也带来了保护不断扩大的攻击面这一固有挑战。
Berard 和 Imbert 在特斯拉 Model 3 中发现的 TPMS 漏洞引起了人们对全面审查联网汽车各系统重要性的关注,即便是 TPMS 这样看似与网络安全无关的系统。联网汽车通过蓝牙低功耗(BLE)、超宽带(UWB)和 Wi-Fi 等多种无线接口进行通信,这为黑客提供了利用薄弱环节的机会。保护这些通信渠道对于防止远程代码执行和维持对防盗系统等关键功能的控制至关重要。
特斯拉在应对已发现漏洞方面有着良好的记录,采取了包括远程空中(OTA)软件更新在内的主动措施来解决问题。然而,如今的 TPMS 漏洞,特斯拉及其他汽车制造商面临的挑战是如何始终领先于不断寻求突破车辆系统的新方法的黑客。
04.展望未来:前行之路
正如 Berard、Imbert 和相关研究机构展示的那样,联网汽车在技术上代表了一次巨大的飞跃,同时也带来了重大的网络安全挑战。汽车制造商必须确保安全性融入到车辆系统的每一层,从外部通信协议到 TPMS 等内部组件。
对于以尖端创新而闻名的特斯拉来说,这些漏洞提醒人们,安全性必须与技术同步发展。通过解决这些问题,特斯拉及其他汽车制造商可以继续与客户建立信任,同时保护他们免受潜在危害。
随着汽车行业数字化转型的持续推进,联网汽车的安全性将始终是重中之重。 Berard 和 Imbert 分享的研究敲响了警钟,提醒汽车制造商加大网络安全工作的力度。同时,诸如这样的研究人员将继续推动汽车安全领域的发展,确保漏洞在被恶意行为者利用之前被发现并修复。
参考:
- Breach in Tesla Model 3's TPMS Unveils Serious Security Flaw - Cybellum
- Hexacon on X: "Our very own @p0ly and @masthoon are now presenting: 0-click RCE on Tesla Model 3 through TPMS Sensors #HEXACON2024 https://t.co/8p9VzPmKR1" / X
- Hexacon on X: ""0-click RCE on Tesla Model 3 through TPMS Sensors" 🚗 by David BERARD (@p0ly) & Thomas Imbert (@masthoon) https://t.co/Er4fv2Qxoo" / X
- (5) Post | LinkedIn
END
作者:北湾南巷
来源:汽车电子与软件
推荐阅读:
更多汽车电子干货请关注汽车电子与软件专栏。欢迎添加极术小姐姐微信(id:aijishu20)加入技术交流群,请备注研究方向。)
