按照這個(gè)思路,我再次踏上尋找加密密鑰的道路��。NGTP協(xié)議包含更新密鑰的函數(shù)����,讓我確信密鑰一定存在某個(gè)地方��。長(zhǎng)期以來(lái)��,尋找總是徒勞無(wú)功����。在最后一次嘗試中�,我分析了固件中一個(gè)隨機(jī)數(shù)據(jù)塊。我嘗試把該數(shù)據(jù)塊的部分?jǐn)?shù)據(jù)作為密鑰來(lái)解密記錄的緊急文本消息��。經(jīng)過一些失敗的嘗試后�,最后獲得了成功。
這個(gè)發(fā)現(xiàn)愈發(fā)讓我感到怪異�����。他們不會(huì)真的對(duì)所有的汽車都使用同樣的密鑰材料吧����?另外,我目前只能查看緊急文本消息�。對(duì)那種使用場(chǎng)景,所有車擁有相同密鑰并不會(huì)造成什么危害�。
我發(fā)現(xiàn)了加密使用DES(56位密鑰)算法和AES128(128位密鑰)算法�����。為簽名消息����,固件使用了三種簽名算法DES CBC-MAC�,HMAC-SHA1和HMAC-SHA256。消息的頭部指定了算法的類型和所用的密鑰對(duì)��。
目前��,尚不清楚寶馬公司為什么會(huì)使用DES算法����,因?yàn)镈ES算法的破解已有一段時(shí)間了。而且相對(duì)于其他加密算法�����,DES數(shù)據(jù)塊的長(zhǎng)度更短�,從而生成更短的加密消息。3DES情況也一樣����,但起碼3DES被多數(shù)人認(rèn)為是安全的。
重組
在成功地嘗試解密與解碼應(yīng)急短信后����,我把注意力轉(zhuǎn)向了汽車本身。我想要查明當(dāng)涉及安全相關(guān)的功能時(shí)����,寶馬汽車的通信是否會(huì)受到更好的保護(hù)。為了這個(gè)目的�����,我開始調(diào)查車門遠(yuǎn)程解鎖的功能�。
為使用這個(gè)功能,車主首先需要在BMW網(wǎng)站上注冊(cè)賬戶并開啟遠(yuǎn)程服務(wù)��。駕駛員可以使用iOS和Android版的My BMW Remote移動(dòng)應(yīng)用來(lái)打開駕駛員旁邊的車門���。為了詳細(xì)了解其工作原理��,我不得不再次記錄汽車收發(fā)的數(shù)據(jù)�。這需要先發(fā)送一條短信���,否則不可能與已關(guān)閉引擎的汽車建立數(shù)據(jù)連接����。
獲得這條短信的最簡(jiǎn)單方法是監(jiān)聽Combox設(shè)備上蜂窩調(diào)制解調(diào)器與V850ES微控制器之間的串口連接。在只是APP打開車門后����,我的確在記錄的數(shù)據(jù)中找到一條文本消息。這條消息似乎包含調(diào)試字符�,因?yàn)樗鼘?shí)際上已經(jīng)蜂窩調(diào)制解調(diào)器處理過。
