还记得前两天媒体铺天盖地宣传的黑客攻陷克莱斯勒汽车的案例么？

其中黑客在远程控制了记者驾驶汽车的雨刷、音响、中控大屏、刹车甚至是低速情况下的远程驾驶权限，给车开到沟里去鸟……随着BlackHat大会的召开，这次汽车攻击细节也公布于众，其中有令人眼前一亮的漏洞与分析，让我们一起来看。

这个议题名为“REMOTE EXPLOITATION OF AN UNALTERED PASSENGER VEHICLE”（如何远程黑掉一辆车）。

其中Charlie Miller是twitter的安全研究员，是工业安全界非常有名的人物。这次的演讲估计是本届BlackHat大会最火的演讲了。

1. 首先是通过Wi-Fi入侵车载系统Uconnect:

Charlie Miller先逆向了汽车Uconnect系统WPA2密码的生成方式，发现WPA2的密码是根据设定密码的时间作为种子生成的随机密码，并且首次生成以后并不会改变。所以说当知道了生成密码的时间，就可以暴力破解出密码。简单来说就是知道你是哪一天设置的密码，那黑客就可以在1小时内暴力猜出你的Wi-Fi密码。

进入汽车Uconnect系统的Wi-Fi内网后，Charlie发现汽车打开了6667端口运行D-BUS服务。D-BUS是以root模式运行，其中有一个服务（NavTrailService）存在任意命令注入漏洞，然后就这样获取到了Uconnect系统的root控制权（就是这套系统最高控制权，相当于你媳妇在家里的地位）。

2. 另一种方式是通过蜂窝网络入侵汽车：

这种方式更酷一些，首先采用femto-cell（伪造蜂窝基站）的方法让Uconnect接入伪基站，然后对区域内的IP进行扫描寻找打开了6667端口的设备，也就是打开D-BUS服务端口的汽车。随后采用和Wi-Fi攻击手段一样的命令注入方法获取到root权限（相当于你跟媳妇有了孩子后，这小兔崽子在你家中的地位）。

PS:关于femto-cell是啥，可以参考乌云很久前的一个案例
（http://www.wooyun.org/bugs/wooyun-2010-078512）

你以为这就黑掉汽车了？非也，毕竟这对好基友（黑客）研究了一年的漏洞，可不会就这么简单轻松。因为Charlie有讲到，即使得到了Uconnect车载系统的root权限也只能进行一些媒体控制，放个音乐，放个小电影助兴震个一条街啥的（中控大屏里俩人的动作让乌云君在次怀疑二人关系纯洁度）。想要控制汽车的底层功能，还需要对Uconnect这套车载系统的固件进行修改。

但神就是神啊，Charlie他们还发现目标汽车有个严重的安全漏洞，那就是汽车的系统不会验证固件的签名，因此通过修改固件系统并加入后门功能变为了可能。就这么理解吧，你手里的iPhone手机现在可以刷自带1024客户端的iOS10系统啦。

至于这自制固件做了啥，乌云君之前的猜测是黑客利用了OBD的私有协议进行攻击，但目前看来，Uconnect可能是直接与自己的汽车总线控制系统或者是汽车ecu（汽车真正的电子大脑，可以控制一切）进行的交互，所以可以控制刹车等底层功能。但正常固件功能无法随便的控制，所以自制固件所做的应该就是打通了黑客直接接触到目标汽车底层系统的会话通道。

最后感谢乌云前方阵地记者 蒸米 发来的报道，以及国内汽车“黑客” 鬼仔 对本文内容的斧正。

啥？看的热血沸腾了？
也想研究汽车安全？成为汽车黑客？
这个简单！首先。。。你得。。。有台车。。。