至少��,汽車會(huì)檢查消息的目的地址����,即消息應(yīng)該被發(fā)送到哪輛汽車����。這個(gè)檢查是通過(guò)查看消息中的VIN(車輛標(biāo)識(shí)碼)來(lái)完成的��。如果VIN不能與提出質(zhì)疑的汽車相匹配�����,它就不會(huì)執(zhí)行發(fā)送的命令。這對(duì)攻擊者來(lái)說(shuō)并不是什么障礙�����,因?yàn)镃OMBOX在這方面給予攻擊者極大的幫助:如果Combox不能接收到有效的VIN碼��,它實(shí)際上會(huì)發(fā)送一條錯(cuò)誤消息��,而這條錯(cuò)誤消息會(huì)包含VIN來(lái)標(biāo)識(shí)錯(cuò)誤消息的發(fā)送者��。
一些BMW車型中,COMBOX已經(jīng)被替換成其他類型的控制單元���。TCB(Telematic Communication Box)支持通用移動(dòng)通信系統(tǒng)(UMTS)�,而且不會(huì)不泄露VIN����,但仍使用已知的加密密鑰���。
在接下來(lái)的研究,我也研究了幾款最新的BMW車型�。其中在一些車型中,COMBOX已經(jīng)被替換為其他的控制裝置�����。多媒體與免提功能已經(jīng)整合到所謂的Headunit���。而蜂窩通信已經(jīng)遷移到到TCB (Telematic Communication Box)��,它現(xiàn)在除了支持GPRS/EDGE連接�,還支持通用移動(dòng)通信系統(tǒng)(UTM)�����。TCB會(huì)忽略未包含正確VIN的消息���。因?yàn)樗床换貜?fù)�,正確VIN碼并不像在COMBOX中一樣那么容易查明����。不過(guò)���,通信仍然使用了適用所有車輛的已知密鑰。
實(shí)踐
在現(xiàn)實(shí)中�,通過(guò)模擬網(wǎng)絡(luò)遠(yuǎn)程解鎖車門將會(huì)是什么樣子?這要求所需設(shè)備能夠放在一個(gè)公文包或一個(gè)背包中����。模擬網(wǎng)絡(luò)的覆蓋范圍即使在市中心也可以超過(guò)100米���。所謂國(guó)際移動(dòng)用戶識(shí)別碼捕捉器(IMSI catcher)比實(shí)際的移動(dòng)網(wǎng)絡(luò)擁有更強(qiáng)的信號(hào),所以會(huì)導(dǎo)致手機(jī)優(yōu)選選擇偽造的移動(dòng)蜂窩網(wǎng)絡(luò)。IMSI catcher不需要事先知道目標(biāo)汽車的電話號(hào)碼�。IMSI catcher使用TMSI替代���。當(dāng)一個(gè)移動(dòng)設(shè)備接入IMSI偽造的網(wǎng)絡(luò)時(shí)���,IMSI會(huì)給這個(gè)設(shè)備分配一個(gè)TMSI。如果目標(biāo)車輛使用TCB模塊�,攻擊者阻塞這個(gè)區(qū)域存在的UMTS信號(hào),迫使控制單元退回到GSM模式。
因?yàn)椴粌H配有ConnectedDrive的汽車會(huì)接入到偽造的移動(dòng)蜂窩網(wǎng)絡(luò)��,通過(guò)查看IMEI碼來(lái)過(guò)濾接入的設(shè)備是個(gè)不錯(cuò)的方法��,IMEI碼是分配給所有移動(dòng)設(shè)備與蜂窩調(diào)制解調(diào)器的唯一序列碼。IMEI碼的前8位數(shù)字指示設(shè)備的類型(手機(jī)型號(hào)代碼,TAC)����。攻擊者可以利用這個(gè)方法區(qū)分Combox與TCB。
