ProHoster > Blog > ειδήσεις στο διαδίκτυο > Το υλικολογισμικό του συστήματος Hyundai IVI πιστοποιήθηκε με το κλειδί από το εγχειρίδιο OpenSSL

Το υλικολογισμικό του συστήματος Hyundai IVI πιστοποιήθηκε με το κλειδί από το εγχειρίδιο OpenSSL

Ο ιδιοκτήτης ενός Hyundai Ioniq SEL δημοσίευσε μια σειρά άρθρων που περιγράφει πώς μπόρεσε να κάνει αλλαγές στο υλικολογισμικό που χρησιμοποιείται στο σύστημα infotainment (IVI) με βάση το λειτουργικό σύστημα D-Audio2V που χρησιμοποιείται στα αυτοκίνητα Hyundai και Kia. Αποδείχθηκε ότι όλα τα απαραίτητα δεδομένα για την αποκρυπτογράφηση και την επαλήθευση ήταν δημόσια διαθέσιμα στο Διαδίκτυο και απαιτήθηκαν μόνο μερικά ερωτήματα της Google για τον προσδιορισμό τους.

Η ενημέρωση υλικολογισμικού που προσφέρθηκε από τον κατασκευαστή για το σύστημα IVI παραδόθηκε σε αρχείο zip κρυπτογραφημένο με κωδικό πρόσβασης και τα περιεχόμενα του ίδιου του υλικολογισμικού κρυπτογραφήθηκαν χρησιμοποιώντας τον αλγόριθμο AES-CBC και πιστοποιήθηκαν με ψηφιακή υπογραφή που βασίζεται σε κλειδιά RSA. Ο κωδικός πρόσβασης για το αρχείο zip και το κλειδί AES για την αποκρυπτογράφηση της εικόνας updateboot.img βρέθηκαν στο σενάριο linux_envsetup.sh, το οποίο υπήρχε σε σαφή μορφή στο πακέτο system_package με ανοιχτά στοιχεία του D-Audio2V OS, που διανεμήθηκε στον ιστότοπο του Κατασκευαστής συστήματος IVI.

Το υλικολογισμικό του συστήματος Hyundai IVI πιστοποιήθηκε με το κλειδί από το εγχειρίδιο OpenSSL
Το υλικολογισμικό του συστήματος Hyundai IVI πιστοποιήθηκε με το κλειδί από το εγχειρίδιο OpenSSL

Ωστόσο, για την τροποποίηση του υλικολογισμικού, το ιδιωτικό κλειδί που χρησιμοποιήθηκε για την επαλήθευση ψηφιακής υπογραφής έλειπε. Αξιοσημείωτο είναι ότι το κλειδί RSA βρέθηκε από τη μηχανή αναζήτησης Google. Ο ερευνητής έστειλε ένα αίτημα αναζήτησης που υποδείκνυε το κλειδί AES που βρέθηκε προηγουμένως και βρήκε το γεγονός ότι το κλειδί δεν είναι μοναδικό και αναφέρεται στο έγγραφο NIST SP800-38A. Με το σκεπτικό ότι το κλειδί RSA δανείστηκε με παρόμοιο τρόπο, ο ερευνητής βρήκε ένα δημόσιο κλειδί στον κώδικα που συνοδεύει το υλικολογισμικό και προσπάθησε να βρει πληροφορίες για αυτό στο Google. Το ερώτημα έδειξε ότι το καθορισμένο δημόσιο κλειδί αναφέρθηκε σε ένα παράδειγμα από το εγχειρίδιο OpenSSL, το οποίο περιλάμβανε επίσης ένα ιδιωτικό κλειδί.

Το υλικολογισμικό του συστήματος Hyundai IVI πιστοποιήθηκε με το κλειδί από το εγχειρίδιο OpenSSL

Έχοντας λάβει τα απαραίτητα κλειδιά, ο ερευνητής μπόρεσε να κάνει αλλαγές στο υλικολογισμικό και να προσθέσει μια κερκόπορτα, καθιστώντας δυνατή την απομακρυσμένη σύνδεση με το κέλυφος λογισμικού του περιβάλλοντος συστήματος της συσκευής IVI, καθώς και την ενσωμάτωση πρόσθετων εφαρμογών στο υλικολογισμικό.

Πηγή: opennet.ru

Προσθέστε ένα σχόλιο