今天给大家推荐的是来自WOOT 2022、关于汽车蓝牙安全性的一篇论文——On the Insecurity of Vehicles Against Protocol-Level Bluetooth Threats,作者是在蓝牙安全领域经常看到的Daniele和Mathias。
越来越多的汽车采用了蓝牙技术来支持丰富的信息娱乐服务,这些服务会涉及到大量的用户敏感信息(如通讯录、短信)甚至控制汽车,因此保证汽车蓝牙安全也愈发重要。目前,已有工作大多集中在汽车蓝牙实现安全上,而对于蓝牙标准协议层面的安全威胁几乎是空白。利用协议层面的漏洞(无关硬件和软件细节),攻击者不仅可以通过蓝牙控制汽车信息娱乐单元,对相关敏感信息进行任意读写,还能够针对同一供应商甚至不同供应商的其他设备展开大规模的攻击。
本文首次对汽车蓝牙协议级安全展开研究,主要针对汽车蓝牙协议层面上的BIAS和KNOB攻击来对相关设备进行分析与评估。这些攻击利用蓝牙标准中会话建立过程的身份验证和密钥熵协商漏洞,通过伪装成合法设备与受害者设备建立链接通信,其攻击具体流程如图1和图2所示,之前的论文推荐我们也对BIAS(G.O.S.S.I.P 学术论文推荐 2021-09-17)进行了介绍,因此在此对攻击细节不进行过多赘述。
本文针对汽车蓝牙的分析评估主要分为两部分:
(1) Lab Methodology
测试对象:作者在实验室环境中测试了5台流行的汽车信息娱乐装置(而非汽车),这些装置使用了蓝牙技术实现相关功能,包括KIA、Toyota、Mazda、Nissan、Subaru。
测试方法:
-
Powering up the units:单独的信息娱乐单元通常没有标准的电源接口,且不同供应商的引脚布局实现不同,因此作者首先要通过手动确认电源端口位置、逆向引脚布局以及尝试不同信号组合来为不同的装置进行通电。
-
作者成功的为KIA、Toyota、Subaru三个装置完成了通电连接。
-
Check Bluetooth connectivity:通电之后分析之前,作者使用智能手机与这些装置进行配对,并进行了基本交互,检查这些蓝牙系统功能是否能够按预期运行。
-
只有KIA、Toyota蓝牙连接正常,Subaru则由于蓝牙固件损坏且没有与供应商合作而被丢弃。
-
Finding units’ technical specification:作者尽可能的在网上或利用已有的蓝牙交互工具获取这些蓝牙装置的详细信息,如制造商、序列包以及蓝牙配置、蓝牙地址等,如表2所示。
-
Attacking the units:对KIA、Toyota装置发起BIAS和KNOB攻击。
(2) On The Road Methodology
测试对象:作者对受控环境中道路上的实际车辆展开测试,包括Suzuki IGNIS、Skoda Fabia以及Skoda Octavia 3(此处呼唤保时捷和法拉利加入)。
测试方法:
-
Finding cars’ technical specification:收集关于目标车辆的详细信息,如表3所示。
-
Comparing technical specifications:对收集的车辆信息进行了对比。
-
结果表明,即使是新车仍然会使用低版本的蓝牙;同一车辆制造商可能会使用不同品牌的信息娱乐装置;不同制造商可能会共享相同的蓝牙装置。
-
Attacking the cars:对车辆实施BIAS和KNOB攻击。
测试结果:对信息娱乐装置和汽车蓝牙功能的测试结果如表4所示。
-
配对过程:所有设备均采用SSP(即ECDH密钥协议),并使用数字比较模式来完成配对。
-
会话机制:所有设备都不支持蓝牙安全连接(Secure Connection, SC)机制,默认为单向身份验证,且采用弱的流密码。
-
BIAS & KNOB:所有设备仍然接收熵为1字节的协商会话密钥和角色互换,因此会遭受BIAS和KNOB攻击。
-
其他问题:除IGNIS汽车外,所有设备都容易受到配对降级攻击,即攻击者通过伪装成不支持任何I/O功能的设备,来将配对过程降级为Just Works模式(即无身份验证和用户交互)。
原文链接:
https://hexhive.epfl.ch/publications/files/22WOOT.pdf
原文始发于微信公众号(安全研究GoSSIP):G.O.S.S.I.P 阅读推荐 2022-06-14
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论