近日,柏林工业大学的安全研究人员开发了一种廉价的越狱方法,可破解最新型号的特斯拉汽车的信息娱乐系统,使其运行黑客选择的任何软件并激活特斯拉汽车的座椅加热和加速提升等软件锁定功能,这些都是车主需要付费才能解锁的功能。
此外,黑客还可以提取特斯拉在其服务网络中用于汽车身份验证的独特硬件绑定 RSA 密钥,可用于在 Tesla 内部服务网络中对汽车进行身份验证和授权。
据悉,研究人员黑客攻击的全部技术细节将在2023年8月9日举行的 BlackHat 2023的演讲中公布(链接在文末)。
Tesla 的信息娱乐APU采用了易受攻击的 AMD Zen 1处理器;因此,研究人员可以尝试利用先前发现的(不可修复的)处理器漏洞来实现越狱。
我们对 AMD 安全处理器 (ASP) 使用已知的电压故障注入攻击,作为系统的信任根,研究人员在BlackHat的演讲简介中解释道。
首先,我们介绍如何使用低成本、现成的硬件来发起故障攻击,以破坏 ASP 的早期启动代码。
然后,我们将展示如何对引导流程进行逆向工程,以在其恢复和生产 Linux 发行版上获得 root shell。
通过获得 root 权限,研究人员可以自由地执行任意更改,这些更改在信息娱乐系统重新启动和特斯拉的无线更新后仍然存在。
此外,研究人员还可以访问和解密存储在特斯拉汽车系统上的敏感信息,例如车主的个人数据、电话簿、日历条目、通话记录、Spotify 和 Gmail 会话 cookie、WiFi 密码以及访问过的位置。
此次越狱使攻击者能够提取受 TPM 保护的证明密钥,特斯拉使用该密钥来验证汽车并验证其硬件平台的完整性,并将其迁移到另一辆车上。
研究人员解释说,除了在特斯拉网络上模拟汽车 ID 之外,越狱后的特斯拉汽车还能在不受支持的地区使用或进行独立维修和改装。
越狱特斯拉信息娱乐系统的工具异常廉价,据研究人员之一 Christian Werling透露,一把烙铁和价值100美元的电子设备(例如 Teensy 4.0 板)应该足以完成这一任务。
Werling 表示,他们已经负责任地向特斯拉披露了他们的发现,后者正在修复所发现的问题:
特斯拉告诉我们,我们解锁后座加热器的概念验证是基于旧的固件版本。
在较新的版本中,只有在特斯拉有效签名的情况下才能更新此配置项(并由网关检查/强制执行)。
不幸的是,Werling 指出:密钥提取攻击在最新的 Tesla 软件更新中仍然有效,因此该问题目前仍然可以利用。
最后,研究人员向BleepingComputer证实,此前一些新闻媒体报道的此次越狱可以解锁全自动驾驶(FSD)的消息并不属实。
参考链接:
https://www.blackhat.com/us-23/briefings/schedule/jailbreaking-an-electric-vehicle-in--or-what-it-means-to-hotwire-teslas-x-based-seat-heater-33049