通過(guò)對(duì)My BMW Remote移動(dòng)應(yīng)用的加密算法與密鑰表的了解����,我可以輕易地解碼與分析這條消息。為了查看汽車的反應(yīng)�����,我使用模擬的蜂窩網(wǎng)絡(luò)向汽車發(fā)送消息的副本(重放攻擊)��。
攻擊寶馬ConnectedDrive系統(tǒng)
接收到短信之后,汽車大約花費(fèi)一分鐘啟動(dòng)連接到主處理單元的系統(tǒng)�����。COMBOX通過(guò)蜂窩網(wǎng)向?qū)汃R后臺(tái)服務(wù)器發(fā)起連接�,并嘗試訪問(wèn)服務(wù)器上的數(shù)據(jù)。如果Combox沒(méi)有接收到任何數(shù)據(jù)���,連接被終止�,什么事情也不會(huì)發(fā)生。這就意味著短信不足以打開(kāi)車門(mén)���,系統(tǒng)還需要來(lái)自后臺(tái)進(jìn)一步的數(shù)據(jù)����。
對(duì)于剛剛發(fā)生的事情���,令人吃驚的是汽車與寶馬服務(wù)器之間的蜂窩連接可以在模擬網(wǎng)絡(luò)中毫無(wú)保留的記錄下來(lái)���。汽車只是發(fā)送一個(gè)簡(jiǎn)單HTTP Get請(qǐng)求,在傳輸過(guò)程并沒(méi)使用SSL或TLS加密����。
為查明汽車期望從寶馬后臺(tái)獲得的數(shù)據(jù),在利用短信開(kāi)始重放攻擊之前�����,我至需通過(guò)App觸發(fā)解鎖序列�����。通過(guò)這種方式�,服務(wù)器便會(huì)存儲(chǔ)有關(guān)我這輛汽車的所需信息。緊接著��,車門(mén)便打開(kāi)了��。
新數(shù)據(jù)可以使用上面所述的方法來(lái)解密與分析��。這一次所用的協(xié)議又是NGTP��,但使用不同的簽名算法與加密算法:AES128而不是DES����,HMAC-SHA256而不是DES-CBC-MAC,但是使用相同的加密表����。
破門(mén)而入
現(xiàn)在,我已經(jīng)具備充足的知識(shí)來(lái)模擬解鎖功能的所有組件�。我可以偽造打開(kāi)車門(mén)的數(shù)據(jù),而所需的設(shè)備只是一個(gè)基站和一臺(tái)筆記本�,這臺(tái)筆記本將發(fā)送偽造的短信,然后再偽裝成寶馬的后臺(tái)服務(wù)器�。
問(wèn)題是已經(jīng)提取出來(lái)的密鑰是否適用于其他的汽車。對(duì)其他幾臺(tái)寶馬汽車的測(cè)試讓我吃下定心丸����。在這個(gè)測(cè)試過(guò)程����,我獲知了一些額外情況���。如果配備ConnectedDrive的車輛沒(méi)有激活遠(yuǎn)程服務(wù)��,遠(yuǎn)程打開(kāi)車門(mén)就不能奏效�。不過(guò)����,我們可以利用模擬的蜂窩網(wǎng)絡(luò)來(lái)激活遠(yuǎn)程服務(wù)。
這個(gè)工作類似于前面的攻擊�。汽車發(fā)送一條短信,指示它從BMW服務(wù)器上下載新的配置數(shù)據(jù)�����。配置數(shù)據(jù)通過(guò)HTTP Get請(qǐng)求加載�����,配置數(shù)據(jù)被格式化成未加密且易于理解的XML文件�。配置文件并不能防篡改,這種問(wèn)題原本可以利用數(shù)據(jù)簽名輕易解決�����。這就意味著我可以使用模擬網(wǎng)絡(luò)輕易地激活遠(yuǎn)程服務(wù)���,然后再打開(kāi)車門(mén)�����。
