作者 | 田錚 上?？匕部尚跑浖?chuàng)新研究院項目經(jīng)理

來源 | 鑒源實驗室

社群 | 添加微信號“TICPShanghai”加入“上?？匕?1fusa安全社區(qū)”

在攻擊開始前，首先需要確定攻擊面。每輛特斯拉汽車中都有車輛提供的Wi-Fi熱點，很多用戶會將SSID的信息保存在車上以便用于自動連接。如果偽造這個Wi-Fi熱點，并將QtCarBrowser的流量重定向到攻擊者的域名，即可實現(xiàn)遠程攻擊特斯拉汽車。此外，當在蜂窩模式下，通過建立精心設計的域名，網(wǎng)絡釣魚和用戶輸入錯誤也會導致遠程觸發(fā)瀏覽器漏洞，實現(xiàn)在沒有物理訪問的情況下遠程交付漏洞利用。

通過特斯拉瀏覽器的用戶代理可推斷出QtWebkit的版本在2.2.x，該版本的QtWebkit存在許多漏洞。研究者獲取特斯拉CID的QtCarBrowser二進制文件后，通過利用瀏覽器的這兩個漏洞來獲得特斯拉CID的shell，從而實現(xiàn)任意代碼執(zhí)行。

第一個漏洞存在于函數(shù)JSArray::sort()中。這個函數(shù)將在JavaScript代碼中調(diào)用數(shù)組的sort()方法函數(shù)時被調(diào)用。存在漏洞的函數(shù)代碼片段如圖2所示，如果compareFunction為JSArray::shiftCount()，則m_vector的長度將被改變，并且整個m_vector結構將被轉(zhuǎn)移到另一個地方。然而，局部變量指針存儲仍然指向舊位置，導致內(nèi)存損壞。當非移位數(shù)組調(diào)用 sort() 觸發(fā)此問題時，本地指針存儲引用的變量映射始終與新存儲結構的變量 m_length 重疊，導致崩潰。通過利用JSArray::sort()中的漏洞，可獲取JSCell地址。

圖2 易受攻擊的函數(shù)代碼片段

第二個漏洞則是由科恩實驗室發(fā)現(xiàn)的CVE-2011-3928，可用于內(nèi)存泄漏。如圖3所示，若分配多個 Element 結構，在static_cast后，HTMLInputElement的成員m_data將與Element的指針m_next重疊。此外，將第二個和第三個Element結構作為子元素插入到同一標簽中，m_next和m_data都指向第三個Element結構。由于m_data指向StringImpl結構，且該StringImpl結構與 Element結構重疊。StringImpl結構體的成員m_data始終是固定值1，StringImpl結構體的m_length始終是一個足夠大的指針，足以讀取整個內(nèi)存。

圖3 CVE-2011-3928中的漏洞

在基于瀏覽器攻擊獲得遠程shell后，仍無法獲得任意權限，這就需要另一個漏洞來從AppArmor中逃脫，并獲得比瀏覽器進程上下文更高的權限。研究者發(fā)現(xiàn)，特斯拉上仍存在著名的ARM Linux漏洞CVE-2013-6282（即：內(nèi)核API中缺少訪問檢查）。研究者利用該漏洞，首先修補了setresuid()系統(tǒng)調(diào)用以獲得root權限，然后調(diào)用reset_security_ops()來禁用AppArmor，實現(xiàn)了在內(nèi)核上下文中獲得任意讀/寫權限。

3）未經(jīng)授權訪問嵌入式系統(tǒng)

在特斯拉Model S上除了CID還有三個更重要的獨立嵌入式系統(tǒng)，即IC, Parrot和Gateway，如圖4所示。由于網(wǎng)絡設計上的缺陷和缺乏強大的密碼保護，研究者可通過遠程攻擊獲得這三個系統(tǒng)的root訪問權限。

圖4 車載網(wǎng)絡的重要設備

在 CID 中獲得 root 權限后，研究者可在沒有任何密碼的情況下通過“ssh root@ic”的命令獲取 IC 上的 root 訪問權限，并通過SSH登錄IC。

此外可實現(xiàn) CID 和 IC 間的相互訪問。CID包含一個密鑰輪換方案，每24小時從母艦接收用戶的隨機新令牌。CID 會以明文形式在 IC 的文件系統(tǒng)中設置密鑰，這意味著即使只能訪問 IC，也可以SSH到CID 并獲得root權限。