产品描述

影响斯柯达和大众集团车辆的漏洞最初是在 2022 年生产的斯柯达 Superb III (3V3) - 2.0 TDI 中发现的。斯柯达速派是捷克汽车制造商斯柯达汽车自2001年开始设计和生产的D级（中型/大型）家用轿车。目前生产的第三代采用MQB平台。斯柯达速派 III 于 2015 年投入生产。

该车具有以下特点：

• 带触摸屏显示器的 MIB3 信息娱乐单元 – 该单元由 Preh 制造，用于斯柯达和大众汽车

• SmartLink 功能使汽车能够通过 Android Auto、Apple CarPlay、MirrorLink 以及其他可能的通信技术与车主的便携式设备进行通信

• TCU 具有通过蜂窝网络实现的紧急呼叫（E-call）功能

汽车使用 TCU 和蜂窝通信通道保持在线、接收 OTA 更新并与 OEM 后端通信。

为了与他们的汽车进行通信，车主可以使用适用于 Android 和 iOS 的 MySKODA 应用程序。

所分析的由 Preh GmBH (www.preh.com) 制造的 MIB3 信息娱乐设备具有以下标识符：

• Part number 3V0035820J 零件号 3V0035820J

• Hardware version: H22 硬件版本：H22

• Firmware version: 0304 固件版本：0304

MIB3 信息娱乐单元 PCB。A面

MIB3 信息娱乐单元 PCB。B面

突出显示的硬件组件包括：

1. R-Car M3 主 CPU (ARM64) 执行主操作系统。拥有运行实时操作系统的专用核心 CARCOM，用于处理 CAN 总线通信。

2. 带有 Linux FS 的 eMMC。

3. 具有低级固件的 SPI 存储芯片。

4. WLAN和蓝牙芯片。

5. 电源控制器芯片（PWC），ARM32。

概括

PCAutomotive 发现了多个低至中危度的漏洞，允许潜在的攻击者访问 MIB3 信息娱乐单元的某些调试机制，并通过车载 Wi-Fi 网络造成拒绝服务。斯柯达和大众汽车的 OBD 界面也发现了某些问题。这些允许潜在的攻击者成功通过信息娱乐单元上的 UDS 身份验证。与 MIB3 装置相关的所有问题都会影响安装该装置的斯柯达和大众汽车 (3V0035820J H22 0304)。其他 MIB3 单元修改未针对已发现的问题进行测试。

OBD接口安全控制集中的另一个问题是允许发出UDS命令，导致车辆高速行驶时发动机和其他一些部件关闭。由于成功利用必须一次性访问车载OBD端口，且存在额外的利用限制，因此风险级别为中。此漏洞已在 Skoda Superb III 2022 上进行了测试。PCAutomotive 假设其他一些 Skoda 和 VW 车型也受到影响。PCAutomotive 没有受影响车型的详细列表。

最后，在斯柯达云后端发现了两个安全问题，这使得潜在的攻击者可以通过仅知道车辆的 VIN 号来获取用户昵称和一些车辆数据（里程、最近的行程持续时间、行程的平均和最大速度）。

技术细节

信息娱乐 ECU 上提供 SWD 调试接口

描述

IVI PCB包含NXP制造的电源控制器芯片（PWC）S9KEAZN64A。该芯片在其引脚上公开了有效的 SWD 调试接口。但调试接口受到保护：在调试芯片之前，需要对芯片内部存储器中存储的固件和配置进行擦除。尽管如此，在擦除操作后可以使用固件更新包中的固件对 PWC 重新编程，并获得对 PWC 的调试访问权限。

J-Link 调试器与 PWC 的连接

JTAG适配器，例如J-Link，可用于连接SWD接口：

PWC SWD 接口与 J-Link 适配器的连接

由于启用了写保护控制，该接口不允许调试。不过，它确实允许在擦除 PWC 芯片的内存内容后进行调试。稍后可以通过写回从公共来源获取的 PWC 固件或利用漏洞 CVE-2023-28895 来恢复内存内容。

利用场景和影响

能够物理访问信息娱乐单元的潜在攻击者可以解锁 PWC 芯片的 SWD 调试接口。这可能会导致攻击面略有增加。

CVE-2023-28895：用于访问 PWC 内存的硬编码密码

描述

信息娱乐单元的 PWC 芯片向单元的外部插座公开一个 UART 接口，支持以下调试命令：

*'?'/'h': help screen
*'a': adc
*'c*': pwc config
*'C': pwc counters
*'e'/'ec': uart statistics
*'fx...': fake message from cc
*'Fc':get flash crc
*'ii'/'iw'/'ir': twi stuff
*'m...': fake message to CARCOM
*'M...': send debug input to CARCOM
*'P1'/'P0':switch main power ON/OFF
*'p': port states
*'PWC:':switch(back) to pwc rx mode
*'Q':switch to uart tunnel mode
*'R1'/'R0':switch cpu reset
*'u': updater stuff
*'v': version infos
*'t...': time stuff
*'T':print temperatures
*'X...': force soft / sw / wd reset

通过连接 PWC 芯片和主 CPU 的 CARCOM 内核的另一条 UART 线向 PWC 芯片发送特定命令后，控制台即可使用。

利用场景和影响

能够物理访问信息娱乐单元的潜在攻击者可以通过向 CARCOM 核心和 PWC 芯片之间的另一条 UART 线路发出以下命令来解锁 PWC 芯片的调试 UART 控制台：

0xF10x1D0x010x01<CHECKSUM 2 bytes>0xF2.

PWC 和 CARCOM 之间的 UART 线的测试引脚可以在信息娱乐系统 PCB 上找到：

将外部 UART 接口连接到 PWC 和 CARCOM 之间的 UART1 线

从调试控制台，可以访问 PWC 固件更新功能（控制台命令“u”）。该命令允许读取和修改 PWC 内存，从而提取其固件并将任意二进制代码写入内存。访问受到硬编码到 PWC 固件 (CVE-2023-28895) 中的密码保护。这可能会导致攻击面略有增加。

CVE-2023-28896：UDS 服务中密码的弱编码&CVE-2023-28897：UDS 服务的硬编码密码

描述

信息娱乐单元的 UDS 身份验证基于以下步骤序列：

1， 从信息娱乐单元请求随机值（种子）。

2，发送静态密码值和随机值的算术加法。

如果 CAN 总线流量包含成功的身份验证尝试，则可以通过使用简单的算术减法 (CVE-2023-28896) 从 CAN 总线流量中检索有效密码。除此之外，密码值被硬编码到信息娱乐单元的固件中（CVE-2023-28897）。

利用场景和影响

能够物理访问 OBD 端口的潜在攻击者可以轻松通过信息娱乐单元上的 UDS 身份验证并向其发出诊断命令。这可能会导致攻击面略有增加。

CVE-2023-28898：通过 Apple CarPlay 服务导致主机拒绝服务

当客户端通过 CarPlay 连接到车辆的 HU 时，端口 7000/tcp 上的 HTTP/RTSP 服务可用，错误地处理指定 id 参数的 /logs 场景的请求。

连接到同一无线网络的攻击者可以发送特制的请求，例如以下内容：

ANY /logs?id=0 RTSP/1.0
Host:10.173.189.1:7000

在某些情况下，需要两个后续请求。

利用场景和影响

如果在信息娱乐单元和其他设备之间建立了 Apple CarPlay 接口，则有权访问车载 Wi-Fi 网络的潜在攻击者可能会导致信息娱乐单元拒绝服务。

CVE-2023-28899：通过 ECU 重置服务拒绝服务

描述

向车辆的OBD端口发送特定的广播UDS消息会导致车辆中的某些组件重置。结果，正在运行的发动机立即关闭，大多数车辆系统离线并停止运行几秒钟。方向盘和制动器仍然可以运行，或者至少在测试过程中没有检测到其功能中断。自上次打开行李箱或上次激活未公开的物理因素以来，可以在一定的短里程内实现影响。然而，攻击的车辆速度不受限制。然而，在这些条件下，攻击车辆的速度不受限制。

利用场景和影响

为了利用该漏洞，需要访问车辆的 OBDII 端口。一旦获得对 OBDII 端口的短期访问权限，攻击者就可以安装无线（蜂窝、Wi-Fi 或蓝牙）接口设备，获得对车辆诊断接口的持久访问权限，并能够在短时间内以任意速度关闭车辆发动机里程（10-20公里）。

CVE-2023-28900：后端汽车服务器上的昵称泄露&CVE-2023-28901：主机 fal-3a.prd.eu.dp.vwg-connect.com 上的行程数据泄露

描述

攻击者可以通过任意 VIN 号码接收 Skoda Connect 用户的昵称和其他标识符 (CVE-2023-28900)。此问题被归类为损坏的访问控制漏洞。攻击者可以在预期权限之外进行操作，从而获得有关车主的更多信息。

如果主要用户在车辆上注册，攻击者可以通过斯柯达车辆 VIN 号接收行程详细信息 (CVE-2023-28901)。此问题被归类为损坏的访问控制漏洞。攻击者可以在预期权限之外进行操作，从而获取有关行程时间戳、油耗、速度等信息。

利用场景和影响

远程攻击者可以通过向 Skoda 后端 API 端点发出某些请求来泄露 Skoda 车辆用户的数据，包括用户名以及有关其最近行程的信息。

通过 VIN 号码检索注册为车主的用户的用户名

通过VIN号检索斯柯达车辆的行程数据

免责声明

以上漏洞均已修复，文章供技术学习交流，切勿进行违法操作，否则后果自负

原文始发于微信公众号（道玄网安驿站）：【车联网】斯柯达大众Superb汽车漏洞挖掘