0x00 前言

大家好, 我是來(lái)自銀基車(chē)聯(lián)網(wǎng)安全實(shí)驗(yàn)室的 KEVIN2600. 今天我想跟大家分享下研究Tesla過(guò)程中的一個(gè)有趣案例. 希望拋磚引玉, 一起為中國(guó)車(chē)聯(lián)網(wǎng)安全做出貢獻(xiàn).

Tesla電動(dòng)汽車(chē)通過(guò)顛覆性的創(chuàng)新能力, 使其迅速成為新能源汽車(chē)的領(lǐng)導(dǎo)者. 而作為毫無(wú)根基的后來(lái)者, Tesla電動(dòng)汽車(chē)將安全性、智能化、可靠性完美融為一體. 甚至公司創(chuàng)始人Elon Musk自信地稱其為 “A sophisticated computer on wheels”.

當(dāng)然作為業(yè)界的翹楚, 自然會(huì)吸引很多人的興趣, 其中也包括黑客群體. 在剛剛落幕的德國(guó)黑客大會(huì)36C3上, 安全研究員 Martin Herfur就對(duì) Tesla Model 3提出了隱私泄露隱患的質(zhì)疑.

Martin研究發(fā)現(xiàn)Tesla Model 3 通過(guò)藍(lán)牙頻道不斷對(duì)外明文廣播一組特殊的ID號(hào). Tesla將這組ID號(hào)作為實(shí)現(xiàn)手機(jī)APP門(mén)禁系統(tǒng)的重要參數(shù). 然而用戶并沒(méi)有權(quán)限改變或者關(guān)閉這組特殊ID號(hào), 這就給有心人士造成了可趁之機(jī). 只要通過(guò)掃描捕捉這組ID號(hào), 就可實(shí)現(xiàn)對(duì)Tesla Model3車(chē)主的跟蹤, 從而對(duì)車(chē)主的個(gè)人隱私造成困擾. Martin還特意寫(xiě)了一個(gè)測(cè)試APP (特斯拉雷達(dá)). 并搭建了全球特斯拉監(jiān)測(cè)平臺(tái). 感興趣的讀者可以到teslaradar.com去了解更多的信息.

個(gè)人隱私問(wèn)題在資訊發(fā)達(dá)的今天顯得尤為突出. 商家在個(gè)人隱私保護(hù)方面是否足夠重視, 也成為人們?cè)u(píng)價(jià)一款產(chǎn)品優(yōu)秀與否的標(biāo)準(zhǔn)之一. 美國(guó)加州立法委員會(huì)甚至將其列在了《加州物聯(lián)網(wǎng)網(wǎng)絡(luò)安全法案》中. 而各類車(chē)聯(lián)網(wǎng)產(chǎn)品是否存在隱私泄露問(wèn)題, 也是非常重要的檢測(cè)環(huán)節(jié). 因此當(dāng)聽(tīng)說(shuō)了這個(gè)Tesla Model 3隱患后, 立刻引起重視并作了深入的研究.

(圖為研究人員在對(duì)Model3藍(lán)牙信號(hào)進(jìn)行跟蹤測(cè)試)

0x01 街頭實(shí)戰(zhàn)測(cè)試

在做了大量測(cè)試后, 發(fā)現(xiàn)Tesla Model 3 確實(shí)存在通過(guò)廣播特殊ID, 造成隱私泄漏的問(wèn)題. 通過(guò)APP特斯拉雷達(dá)我們很快就發(fā)現(xiàn)了不少Tesla Model 3. 并且成功定位了幾輛經(jīng)常出現(xiàn)在附近小區(qū)的車(chē)主.

0x02 iBeacon簡(jiǎn)介

那么究竟這個(gè)特殊的ID號(hào)是什么呢? 這就需要我們首先了解下什么是iBeacon. 它是最早由蘋(píng)果公司發(fā)明的一項(xiàng)通過(guò)藍(lán)牙廣播, 專門(mén)用于跟物理世界進(jìn)行交互的技術(shù). 主要應(yīng)用場(chǎng)景為室內(nèi)定位等.

蘋(píng)果公司同時(shí)定義了iBeacon廣播的數(shù)據(jù)格式. 其中包含了UUID, Major, Minor, TX Power 這幾個(gè)重要參數(shù). 首先UUID 為16字節(jié)的字符串,這組字符串主要是用來(lái)區(qū)分各個(gè)不同的廠家. 比如TESLA的UUID 為 (74278bda-b644-4520-8f0c-720eaf059935). 這組UUID可以從逆向特斯拉雷達(dá) APK 文件中找到.

接下來(lái)的Major為2字節(jié)的字符串, 通常用來(lái)定位發(fā)送方的區(qū)域或類型. 隨后的2字節(jié)字符串Minor主要用來(lái)區(qū)域中具體定位. 而TX Power顧名思義則是通過(guò)信號(hào)強(qiáng)弱來(lái)識(shí)別與車(chē)主的距離. 當(dāng)然廠家可以根據(jù)實(shí)際需求重新定義具體用途. 而Tesla Model3 的特殊ID號(hào)則在藍(lán)牙設(shè)備名字項(xiàng)出現(xiàn), 如下圖中的 S7120a62f34cd8018C.

這里我們使用專業(yè)藍(lán)牙分析儀 Frontline 對(duì)Tesla的廣播包進(jìn)行捕捉及分析. 也同樣發(fā)現(xiàn)了相同的數(shù)據(jù)串.

0x03 iBeacon數(shù)據(jù)偽造

這項(xiàng)技術(shù)的設(shè)計(jì)初衷是為了讓商家可以更加方便的與客戶互動(dòng). 然而iBeacon的設(shè)計(jì)者們似乎沒(méi)有過(guò)多考慮安全隱私的問(wèn)題. 其通過(guò)藍(lán)牙廣播明文發(fā)送的特性, 讓任何人可以通過(guò)手機(jī)或藍(lán)牙設(shè)備對(duì)其進(jìn)行數(shù)據(jù)捕獲與偽造. 如下圖所示我們可以輕易通過(guò)開(kāi)源軟件創(chuàng)建一個(gè)簡(jiǎn)單的iBeacon的數(shù)據(jù)包.

熟悉軟件無(wú)線電的朋友, 也可以選擇硬核無(wú)線大神JXJ的開(kāi)源項(xiàng)目 (https://github.com/JiaoXianjun/BTLE). 在配合HackRF 或 BladeRF 使用. 比如我們可以在短時(shí)間內(nèi)偽造大量iBeacon數(shù)據(jù), 對(duì)目標(biāo)設(shè)備造成困擾.

原文鏈接：https://www.anquanke.com/post/id/197750

推薦閱讀：產(chǎn)經(jīng)在線網(wǎng)