破解特斯拉，神秘的黑客是如何辦到的？

【編者按】本文作者是上市公司資深安全專家，專注安全資訊深喉

這篇文章我來談談特斯拉汽車的安全情報，有人肯定會說，特斯拉汽車和前幾篇的安全領域比，跳躍性也太大了吧，怎么會想到這個的呢？

因為之前提到了google的Project Zero計劃，而最近比較爆的一條消息就是谷歌Project Zero負責人Chris Evans離職去領導特斯拉汽車安全，所以腦洞來一下，就想來談談特斯拉。

特斯拉這次挖角，是因為8月defcon上，lookout安全公司的凱文·馬哈菲(Kevin Mahaffey)和馬克·羅杰斯(Marc Rogers)的議題，這個議題講解了他們如何黑掉特斯拉汽車的過程。

lookout公司在blog放出了破解特斯拉的詳細技術文檔，感興趣的可以看看。

他們是從瀏覽器、藍牙協議、usb接口、sd卡接口、wifi熱點、未知的硬件連結口6個層面進行的安全滲透測試，我就不做全職英文翻譯了，挑有用的情報進行分析。

這兩哥們balabala一大堆失敗的測試過程，其中一個有意思的是瀏覽器這個攻擊入口：

他們發現了特斯拉瀏覽器的內核是webkit，版本是534.34，并成功crash了它，但是沒有找到合適的調試方法繞過dep等內存保護措施而放棄了。

有意思的是特斯拉的這個入口2014年的時候被keen team攻破過，這個打問號的cve是CVE-2014-1303，keen在Pwn2Own 2014上也是用的這個漏洞打下的蘋果瀏覽器，所以第一個找出特斯拉漏洞的是keenteam。

在其他層面走不通后，這兩哥們只好拆車了，找到了以太網接口，啥叫以太網接口，做過網線的同學應該會心一笑，還記得網線水晶頭的做法么，交叉線平行線，橙白橙綠白藍藍白綠棕白棕 。

把網線接到路由器上，就可以進入汽車的內部網絡進行安全測試，于是balabala發現了很多控制汽車的指令數據包，還搞到了升級固件。

對固件一頓逆向后發現固件里居然有一個硬編碼的wifi熱點wpa秘鑰，然后發現這個是給特斯拉服務中心用的，車子開到服務中心可以主動連結服務中心的wifi熱點使用相關的服務。

于是這兩哥們終于找到了真正有用的遠程攻擊入口，黑客可以構造一個相同密碼的惡意wifi熱點，等到特斯拉連上后就可以進入汽車的內部網絡，訪問特斯拉汽車內部服務。但要掌控關鍵的內部服務控制汽車，仍需要先物理連結汽車內部硬件接口實時獲取相關的秘鑰和數據，才能控制相關的內部服務。

所以這并不是一次太成功的破解，只能物理入侵，無法遠程攻擊，但兩哥們的無私分享為大家了解特斯拉的安全探明了可能的道路。

另外除了keenteam和lookout軟硬結合的破解特斯拉手法，還有其他維度的黑車方式，如特斯拉無線鑰匙無線協議的破解和針對app密碼暴力破解中間人劫持等，這些就不在本文中說了。

最后希望我的情報能讓大家的信息更對稱，特斯拉汽車并不是一些人想的一個跑著四個輪子的大手機那么簡單，隨著廠商更加重視安全，我想破解之路會越來越窄。

雷峰網原創文章，未經授權禁止轉載。詳情見轉載須知。