智能汽车漏洞挖掘案例分享

声明：请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，作者不为此承担任何责任。关注公众号，设置为星标，不定期有宠粉福利

前言

随着人工智能、5G通信与车联网技术的深度融合，智能网联汽车正从理论验证阶段快速迈进规模化商用时代。截至目前，我国L3-L4级自动驾驶试点城市已拓展至数十个。智能化进程的提速带来了多样化的安全挑战：车载系统漏洞、远程攻击、数据泄露等风险频发，严重威胁用户隐私、行车安全乃至公共安全。这种技术迭代与安全挑战并存的局面，正成为行业迈向成熟阶段必须跨越的关键障碍。

本文不讲复杂的汽车架构、网络拓扑、车内通信等技术，专注讲解真实漏洞、挖掘技巧、实际控车案例和个人的建议。

背景

安全时间线

汽车安全的时间线，可以回溯到十多年前，安全研究者们就开始挖掘汽车上的漏洞；自此汽车攻防拉开序幕，攻击难度和成本逐年提升，我们在下面这个图里可以看到，Tesla多次被破解，但是这也恰恰说明特斯拉是非常重视安全的，值得我们去学习。

安全现状

汽车是一个复杂的系统性组装体，其架构涵盖了多个关键层级，包括云端、管端和客户端等。这些部分共同构成了智能网联汽车的核心技术框架，支撑其智能化和网联化的功能实现。

由于其庞大的体系架构，所以它面临的安全风险和漏洞其实是很多的；

这里简单讲一下，安全中也有水桶效应，比如汽车上有着诸多的ECU，但是其中只要攻击者攻击拿下一个ECU的权限，即可通过横向完成对整车的攻击和破解。

强标和法规

针对车联网安全的必要性，我们国家在2024年正式公布了汽车信息安全的强标，给到汽车安全行业的一个指导和标准；

除了国内，国外也是颁布了R155、R156等汽车安全法规来指导和监督汽车网络安全、如果国内汽车想要出海销售，就必须要满足上述的法规；

漏洞挖掘之旅

准备工作

想要搞汽车网络安全，首先你要先有一辆汽车，什么？你没有，那你就需要自己动手搭建台架，我们经常会在闲鱼或者本地大一点的汽修厂购买二手的零部件进行研究，在你买设备的时候，一定记得要问有没有售后服务，能不能给引脚定义或者怎么接线等；

下图是我和实验室同事一起搭建的台架（VCU、仪表盘、BCM），主要用于研究PEPS安全

在零部件和台架上，我们会重点做一些硬件安全的研究如：调试口测试、侧信道、故障注入等；本文重点不在此，不重点讲解

获取固件

准备工作做好之后，我们就可以对固件进行提取了，毕竟我们安全研究，重点就是放在固件上，对软件攻击和破解才是我们的任务

硬件提取固件

对零部件上的存储芯片进行提取，首先我们通常会找调试口，但是汽车和消费级的IoT设备不太一样，一般调试口不会保留，需要自己从芯片的Datasheet里找，有些BGA封装的芯片，则需要我们吹下来，放在芯片座上进行编程、也可以把引脚飞线出来连接我们的调试工具。

提取到一般是一个固件，需要使用工具对固件进行分析，比如分析一下文件系统或者文件格式

互联网（人民币）提取固件

除了技术手段去获取，还有一种比较简单的，我们生活在互联网时代下，可以在修车论坛、发烧友论坛、网盘资源、QQ/WX/TG群聊等等获取到车机的固件

什么，你觉得还是有难度？那这里就只能放大招了，土豪玩家在哪里都是VIP，可以直接在闲鱼上购买固件，只有你想不到，没有买不到

逆向获取调试

通过上述种种方法，我们终于拿到了固件，然后我们需要对固件进行分析，重关注车机的调试模式如何去打开，下面讲一下我个人的实际案例

1、挂载固件

懒得解包了，车机固件是安卓的，解包不如直接挂载，编写如下脚本快速挂载安卓镜像

2、定位工程模式

安卓的文件系统，大家应该挺熟悉的，如果不熟悉也没关系，我们可以上字符串匹配大法，如果你搞安全请牢记此方法。3秒我们就定位到了工程模式app

提取出来，使用apk反编译工具进行逆向，可以看到验证算法就是getCertPwd()

3、编写工程密码生成脚本

然后其实就非常简单了，我们编写个脚本，自己生成工程模式的密码，打开调试

工程模式案例

绝大多数的汽车都留有工程（后门）模式，车企的用途是便于后期售后，但是对于安全研究者和外部攻击者看来这无疑是后门；我和实验室的同学研究过大量的车辆，下面简单展示一下部分汽车的工程模式

最右侧那个图是国内某新能源汽车的adb开启方法，看起来还是挺复杂的对吧

端口扫描

像传统的渗透测试一样，车联网测试也是需要端口扫描、服务发现。但是汽车网络是独立的，我们无法直接进行端口扫描，我们需要接入到车内网络中，这里我们通常会使用车机的热点功能，次选车机连接自己的热点

然后使用Nmap等工具对车内网络进行扫描

下面是我们实战中扫描到的一些端口如ivi、qnx和tbox的5555和21端口

至此我们才算真正打开了汽车的攻击面

进阶技巧

快速定位Tbox

下面讲一些自己经常使用的进阶技巧，一般车的远控都是通过Tbox，所以Tbox算是车内核心的零部件，拿到它的信息，就离成功破解它更近了一步，当你连接上车内网络，扫描完突然发现有很多存活主机，该如何快速定位Tbox呢?

1、连接车机的热点后，查看自己WIFI网卡的网关，一般这个网关就是Tbox的地址

2、使用traceroute命令，追踪汽车网络到公网，公网前一个IP一般就是Tbox的IP地址

突破车内网络隔离

这个技巧在实战中也经常用到，如何突破车内的网络隔离，我们在研究了一些车后，发现有些汽车你连接他的热点，然后扫描发现没有任何存活的主机，这时我们怀疑车内网络经过了隔离，于是我们就想办法突破

第一种办法，我们更改自己ip地址，有些汽车会限制比如AP网段的IP在0-120之间（脏网段），随机分配的也是这个区间，如果你配置为150，那么可能可以访问其他网段，突破了隔离；

第二种方法，我们拿到了ivi或某ecu的shell，可以添加路由表，进行隔离突破，

下面这个证书，是在一个比赛中，我们从车内网络直接突破到该车企的企业内网，获取了大量的敏感信息（100w+），颁发的超危证书

真实漏洞

弱口令/硬编码

这个漏洞真的非常常见，小漏洞大危害；首先接入车辆的WIFI，通过硬编码进入到ivi的shell中，从ivi中，连接tbox的ssh，最终通过在tbox上发送Dbus进行控车，整条攻击链路非常简单，就是凭着弱口令和硬编码对车辆进行一个控车。四个字形容，大道至简

我们在逆向时，发现了账户信息泄露，可以直接连接车内的shell

在APP逆向时发现了AK/SK泄露，造成了40+主机的接管，存储桶还泄露了大量的固件

在这里提醒各位开发；开发无小事，使用弱口令，安全两行泪

堆栈溢出/拒绝服务

车内的二进制世界，让无数黑客前仆后继，我也是其中一个，但是比较菜

车辆会开放各种端口服务，如果这个端口可以被外部访问，比如接入AP后进行访问，那么就存在一定的风险

下面是真实案例

1、首先我扫描了端口服务，发现开放了3个端口

2、通过端口定位到程序，然后开始逆向

各位开发看看，上图存在几个漏洞，找不到的建议重学C语言

1.strstr操作后无判断，直接进行操作，空指针指针异常

2.strncpy操作前，不检查source的长度直接拷贝去dest里，栈溢出

至此漏洞定位成功

3、编写EXP

逆向漏洞处向上回溯，定位如何触发漏洞，然后编写EXP

4、漏洞演示

视频打马是在是不会，所以放照片了

最终的效果是车机被打宕机，不断重启

你问我为什么不深入利用去拿个shell，那我问你，程序都是保护全开的，我连个root都没有，我怎么调试，回答我？

命令注入

命令注入漏洞可谓是非常经典的漏洞了，我刚开始接触安全的时候，就挖到过一些命令注入，挖掘非常简单，危害确实非常的大，不用辛苦去做ROP；

我们在Tbox中发现了一个端口服务，且这个服务是root权限启动的，通过逆向定位到一个命令注入漏洞

拿到rootshell后，我们就开始观察车辆是如何被控制的，最终观察流量发现，控车走的是IPC通信

然后我们逆向了数据格式，准备自己伪造个包发送

最终完成汽车解锁攻击

蓝牙控车

下面这个漏洞，车厂的人都不陌生，前一段，工信部要求所有车企对该漏洞进行排查；

好多车企其实都不懂，但是不要怕，我们实验室早就已经研究过这个漏洞，并实战过一些车辆，下面就是案例

首先我们不需要进行蓝牙配对，也就是说下面的攻击都是无感进行的，发送payload给车机，我们的攻击模拟了HID设备键盘，随即车机就会进入切换，这里我们演示的是一键下电，然后车机就可以下电，影响行车安全

当然开启车门，车窗同样可以，只需要更改一下payload

远程控制

我在研究国内某款新能源汽车时，挖掘到一个远程控车漏洞，下面讲讲这个攻击链

我们逆向车主APP，发现有个接口，通过VIN码获取MQTT的账户和密码

我立刻尝试登录，发现不行，其实很正常，端口是433，应该是加了TLS，所以还需要证书、客户端证书、客户端私钥才能登录，然后我继续逆向，发现有个接口，可以获取到证书，下图响应体是个压缩包

然后我成功登录进入MQTT，订阅/#获取大量的信息，电话、位置等等

然后我切换订阅了/vin，获取到目标车辆的车主Token，找到控车包，替换token，发送控车

成功远程控车

建议与总结

厂商

首先针对车厂、供应商等，其实国家已经明确给出标准去遵守和执行，车厂可以把安全拆分开进行建设，从安全体系建设，设置安全渗透环节到引入安全测试流程，建立自己的SRC平台，到最后的积极跟进最新安全技术，覆盖全部车型OTA等

车厂在网络安全领域面临着重重挑战，随着国内外一系列相关法律法规的相继出台，车厂在网络安全建设方面有了明确的方向指引。且从长远来看，车厂在网络安全上的投入，绝非是一种成本，而是一种前瞻性的投资

消费者

我相信在座的很多人更多的还是消费者，在购车时，我有四点建议

1、请选择大厂品牌，大厂有保障，安全体系成熟，问题较少

2、平时关注汽车安全，关注汽车安全新闻，安全事件等

3、选择经常OTA更新的，不要让车辆存在历史漏洞

4、最后选择有专业车联网安全团队的，坚决守护用户安全

总结

作为安全研究人员，我们深知汽车漏洞可能引发的严重后果。攻击者通过研究汽车漏洞并构建攻击链，就可能导致车辆被控制、解锁、启动等，进而威胁到财产甚至人身安全。因此，安全团队肩负着重大的责任和使命。我们必须不断学习新技术，以创新思维应对不断变化的威胁。同时，我们也将积极思考并制定有效的缓解方案，为车联网安全保驾护航。

安全的本质就是攻防，绝对的安全是不存在，我们所做的就是不断提出缓解方案，将攻击成本不断提升，攻击危害不断减小，从而保证汽车的安全。

如有侵权，联系我们删文！！

原文始发于微信公众号（锐鉴安全）：智能汽车漏洞挖掘案例分享