0x00 前言

大家好, 我是來自銀基車聯網安全實驗室的 KEVIN2600. 今天我想跟大家分享下研究Tesla過程中的一個有趣案例. 希望拋磚引玉, 一起為中國車聯網安全做出貢獻.

Tesla電動汽車通過顛覆性的創新能力, 使其迅速成為新能源汽車的領導者. 而作為毫無根基的後來者, Tesla電動汽車將安全性、智慧化、可靠性完美融為一體. 甚至公司創始人Elon Musk自信地稱其為 “A sophisticated computer on wheels”.

當然作為業界的翹楚, 自然會吸引很多人的興趣, 其中也包括黑客群體. 在剛剛落幕的德國黑客大會36C3上, 安全研究員 Martin Herfur就對 Tesla Model 3提出了隱私洩露隱患的質疑.

Martin研究發現Tesla Model 3 通過藍芽頻道不斷對外明文廣播一組特殊的ID號. Tesla將這組ID號作為實現手機APP門禁系統的重要引數. 然而使用者並沒有許可權改變或者關閉這組特殊ID號, 這就給有心人士造成了可趁之機. 只要通過掃描捕捉這組ID號, 就可實現對Tesla Model3車主的跟蹤, 從而對車主的個人隱私造成困擾. Martin還特意寫了一個測試APP (特斯拉雷達). 並搭建了全球特斯拉監測平臺. 感興趣的讀者可以到teslaradar.com去了解更多的資訊.

個人隱私問題在資訊發達的今天顯得尤為突出. 商家在個人隱私保護方面是否足夠重視, 也成為人們評價一款產品優秀與否的標準之一. 美國加州立法委員會甚至將其列在了《加州物聯網網路安全法案》中. 而各類車聯網產品是否存在隱私洩露問題, 也是非常重要的檢測環節. 因此當聽說了這個Tesla Model 3隱患後, 立刻引起重視並作了深入的研究.

(圖為研究人員在對Model3藍芽訊號進行跟蹤測試)

0x01 街頭實戰測試

在做了大量測試後, 發現Tesla Model 3 確實存在通過廣播特殊ID, 造成隱私洩漏的問題. 通過APP特斯拉雷達我們很快就發現了不少Tesla Model 3. 並且成功定位了幾輛經常出現在附近小區的車主.

0x02 iBeacon簡介

那麼究竟這個特殊的ID號是什麼呢? 這就需要我們首先了解下什麼是iBeacon. 它是最早由蘋果公司發明的一項通過藍芽廣播, 專門用於跟物理世界進行互動的技術. 主要應用場景為室內定位等.

蘋果公司同時定義了iBeacon廣播的資料格式. 其中包含了UUID, Major, Minor, TX Power 這幾個重要引數. 首先UUID 為16位元組的字串,這組字串主要是用來區分各個不同的廠家. 比如TESLA的UUID 為 (74278bda-b644-4520-8f0c-720eaf059935). 這組UUID可以從逆向特斯拉雷達 APK 檔案中找到.

接下來的Major為2位元組的字串, 通常用來定位傳送方的區域或型別. 隨後的2位元組字串Minor主要用來區域中具體定位. 而TX Power顧名思義則是通過訊號強弱來識別與車主的距離. 當然廠家可以根據實際需求重新定義具體用途. 而Tesla Model3 的特殊ID號則在藍芽裝置名字項出現, 如下圖中的 S7120a62f34cd8018C.

這裡我們使用專業藍芽分析儀 Frontline 對Tesla的廣播包進行捕捉及分析. 也同樣發現了相同的資料串.

0x03 iBeacon資料偽造

這項技術的設計初衷是為了讓商家可以更加方便的與客戶互動. 然而iBeacon的設計者們似乎沒有過多考慮安全隱私的問題. 其通過藍芽廣播明文傳送的特性, 讓任何人可以通過手機或藍芽裝置對其進行資料捕獲與偽造. 如下圖所示我們可以輕易通過開源軟體建立一個簡單的iBeacon的資料包.

熟悉軟體無線電的朋友, 也可以選擇硬核無線大神JXJ的開源專案 (https://github.com/JiaoXianjun/BTLE). 在配合HackRF 或 BladeRF 使用. 比如我們可以在短時間內偽造大量iBeacon資料, 對目標裝置造成困擾.

原文連結：https://www.anquanke.com/post/id/197750