Konference DEFCON 27. Jūsu automašīna ir mana automašīna. 2. daļa

Konference DEFCON 27. Jūsu automašīna ir mana automašīna. 1. daļa

Videoklipa beigās dzirdēts klikšķis – tā ir mehāniskās stūres slēdzenes atbloķēšana, kuru nevaram apiet, izmantojot elektroniku. Jāizmanto kaut kas mehānisks, ar roku jāsalauž slēdzenes cilindrs vai jādara kaut kas līdzīgs, ko es negrasījos darīt ar viņas mašīnu. Visa šajos videoklipos demonstrētā programmaparatūra pēc manas runas būs pieejama vietnē GitHub, tāpēc vienkārši dodieties uz URL slaidā un lejupielādējiet OpenRemoteStart failu.

Parunāsim par to, kas tieši notiek, kad šai sistēmai pievienojam internetu, jo tam ir jābūt mums par labu, vai ne? Kā jau teicu, es iegādājos tālvadības signalizācijas vadības moduli ar nosaukumu MyCar. Ir dažādas modifikācijas, man bija Linkr LT-1 modelis.

MyCar ir tikai zīmols un šādi moduļi tiek pārdoti ar nosaukumiem Linkr LT-1, MyCar KIA, Visions MyCar, Carlink (CL6) utt. Kā izrādās, jau kādu laiku KIA dīleru saloni Kanādā savās automašīnās uzstāda šo sistēmu vai vismaz lietotni MyCar KIA. Interesanti, ka šī lietotne vairs nav pieejama lejupielādei vietnē AppStore. Vēlos arī atzīmēt, ka izvēlējos Fortin un MyCar produktus, taču saskaņā ar lietotāju atsauksmēm tematiskajos forumos par ārštata automašīnu signalizāciju citas sistēmas nedarbojas labāk un tām ir līdzīgas problēmas.

Man ir svarīgs jautājums: kāpēc pēcpārdošanas automašīnu signalizācijas tirgū tiek pārdots produkts ar drošības problēmām, un tas nevienu neinteresē? Tāpēc, ja kādu no jums interesē attālinātās startera sistēmas, pievērsiet uzmanību pāris svarīgiem apstākļiem. Pirmkārt, kā jau minēju iepriekš, ja DS sistēma nav pareizi uzstādīta automašīnai ar manuālo pārnesumkārbu, ir pilnīgi iespējams, ka pēc dzinēja attālinātas iedarbināšanas automašīna vienkārši brauks bez vadītāja, ja pārnesumkārbā ir ieslēgts kāds pārnesums. . Tas ir patiešām bīstami. Otrs apdraudējums ir tāds, ka, ja kāds novieto automašīnu piebūvētā garāžā un nejauši no attāluma iedarbina dzinēju, viņš var nosmakt no uzkrātā tvana gāze. Tātad, ja jums ir CO sistēma un pievienota garāža, jums noteikti vajadzētu būt oglekļa monoksīda detektoriem.

Ja izmantojat DS sistēmas, nekad nemēģiniet iedarbināt automašīnas dzinēju, precīzi nezinot, kur tas atrodas, jo sekas var būt postošas.

MyCar ierīcei, mazai melnai kastei, no kuras iziet divi vadi, ir 8 porti, no kuriem divi ir veltīti atkļūdotāja interfeisam. Pieslēdzoties šim interfeisam, tika parādīts, ka ierīcē darbojas Linux, par ko ražotājs klusē. Programmaparatūras apvalkā ir viegli iekļūt, izmantojot oelinux 123 paroli, taču jūs varat izmantot AE Engine bez pieteikšanās, kas ļauj ievadīt AT komandas no komandrindas, tostarp komandu mainīt ierīces IP adresi, ar kuru šis modulis sazinās.

Ja skatāmies uz zemāk esošajām rindiņām, mēs varam redzēt tā servera IP adresi, no kura MyCar modulis saņem programmaparatūras atjauninājumus. Ierīce ir aprīkota ar L-portu, kas ļauj “klausīties” moduļa saņemtās komandas. Izmantojot AE Engine un mainot pārī savienotās ierīces IP, es varēju noteikt, ka šī ierīce sazinās ar DS, izmantojot nešifrētu UDP protokolu.

Neesmu to pārāk daudz pētījis, bet, manuprāt, tas ir diezgan nozīmīgs un interesants fakts. Ja jūs interesē plašāka informācija par šo ierīci, apskatiet šo slaidu - tajā redzams barošanas spriegums 3,3 V, datu pārraides ātrums 115200 XNUMX bodi, servera adrese programmaparatūras atjaunināšanai, root parole un saite. uz lietotāja rokasgrāmatu.

Ierīce var “paciest” lielāku barošanas spriegumu.

Kā jau teicu, šeit kļūst diezgan auksts. Apmēram mēnesi pēc tam, kad es uzdāvināju šo sistēmu savai draudzenei, es nolēmu izņemt ierīci no automašīnas un kārtīgi pabraukt. Fakts ir tāds, ka visu šo mēnesi esmu atgrūdis domas par šīs ierīces ievainojamību. Viņi prognozēja temperatūru līdz -30F° nākamajai nedēļai, tāpēc man bija jāsteidzas. Es izveidoju savienojumu ar apvalku un ļāvu tam darboties, taču, tā kā šūnu uztveršana manā mājas laboratorijā nav pārāk laba, es nolēmu strādāt ar kasti citā datorā. Manam izmantotajam FTDI blokam ir īss vads, tāpēc atradu garāku, iespraudu DS blokā, pieslēdzu datoram, un tiklīdz ieslēdzu strāvu, mana iekārta sāka smēķēt!

No tā ir jāmācās: ja uzlaužat aparatūru, sagatavojiet rezerves ierīci! Mana draudzene stāsta morāli šādi: ja tava otrā puse ir hakeris, neļauj viņam spēlēties ar tavām Ziemassvētku dāvanām! Tagad paskatīsimies uz programmatūru, domāju, ka te nekas nesmēķēs.

Es sāku starpniekserveri, atspējojos SSL verifikāciju savā tālrunī un noskatījos, kādu trafiku lietotne nosūta uz aizmugursistēmu. Reģistrējoties pamanīju, ka sistēma paņēma manu e-pasta adresi un nosūtīja to tīmekļa servisam, lai pārliecinātos, ka adrese ir saistīta ar esošu kontu. Interesanti, ka sistēma izmantoja pamata autentifikāciju, jo es vēl nebiju izveidojis kontu. Es nezināju, ko darīt ar šo informāciju, tāpēc vienkārši pierakstīju to piezīmju grāmatiņā un devos tālāk. Es izveidoju savu kontu un pieteicos, un pirmais, ko lietojumprogramma dara, piesakoties, ir izsaukt tīmekļa pakalpojumu, lai pārbaudītu pašreizējo lietotāju. Tāpēc es vienkārši piezvanīju šim tīmekļa serverim, izmantojot iepriekš redzētos akreditācijas datus, kas tika izmantoti, lai pārbaudītu, vai mana e-pasta adrese pastāv, un man tika piešķirta Mycar administratora piekļuve.

Es šaubījos, ka tas ir īsts sistēmas administratora konts, jo, neskatoties uz to, ka tas skanēja skaļi, tam bija zemas privilēģijas. Galu galā mēs visi zinām šādus cilvēkus.

Tāpēc es izveidoju vēl vienu pieprasījumu - komandu EngineStart, lai iedarbinātu automašīnu no šī konta, noklikšķiniet uz “Sūtīt”, saņemu komandas statusu atbildē - “200 OK”, un pēc apmēram trim sekundēm mana automašīna sāk kustēties.

Kā izrādās, Mycar Admin konts patiešām bija administratora konts, kas tika iekodēts mobilajā lietotnē. Bet tas vēl nav viss. Vienā no iepriekšējiem slaidiem redzējāt tādu lietu kā API atslēga. Atkal, pārraugot savu viltoto starpniekservera trafiku, es uzzināju, ka šīs API atslēgas var izmantot lietotājvārda un paroles vietā. Ja kā lietotājvārdu un vienu no šīm atslēgām izmantojat "API", varat autentificēt lietotāju.

Tāpēc es nokopēju rindas “APIKey” saturu, ielīmēju to POST lietojumprogrammas paroles rindā un noklikšķināju uz pogas “Sūtīt”.

Tomēr tas neizdevās, un es nevarēju saprast, kāpēc garas 5 minūtes. Visbeidzot, es sapratu, ka aizmirsu noņemt pēdiņas un komatu no kopētās API atslēgas, kas man tika teikts: "Jūs pieļāvāt kļūdu SQL sintaksē." Man kļuva skaidrs, ka varat vienkārši izmantot pamata SQL injekciju, lai apietu visu pieteikšanās procesu un kļūtu par administratoru vai jebkuru lietotāju, kuru vēlaties. Es domāju, ka neviens nekad nav mēģinājis nozagt automašīnu, izmantojot SQL injekciju, tāpēc pamēģināsim.

Kopumā es pieteicos savā kontā, noklikšķināju uz "Sūtīt" un atbildē saņēmu statusu "200 OK". Šoreiz izdomāju ierakstīt video. Ir nedaudz tumšs, jo es filmēju vēlu vakarā no sava biroja loga. Tātad, ievadu komandu, un pa logu redzi, ka lejā pagalmā mirgo mašīnas lukturi. Sākumā to gaisma ir vāja, bet tad priekšējie lukturi sāk spīdēt ar pilnu jaudu - tas ir dzinēja ieslēgšana. Tātad, es iedarbināju automašīnu, izmantojot SQL injekciju (auditorijas aplausi).

Bet tas vēl nav viss. SQL injekciju var izmantot ne tikai autorizācijai, bet arī citu parametru aizstāšanai, piemēram, URL, vaicājuma virknes pamatteksta parametrus utt. Patiesībā šī sistēma visur izmanto SQL injekcijas. Aplūkojot kļūdu ziņojumus, mēs varam redzēt, ka tas, ko mēs ievadām kā paroli, tiek salīdzināts tieši ar paroles kolonnu datubāzē.

Tas nozīmē, ka viņi SQL ievadē izmanto vienkārša teksta paroles. Kā saka: "tas nemaz nav labi un pat ļoti slikti!" Bet pietiekami daudz par SQL, redzēsim, ko vēl varat darīt, lai attālināti iedarbinātu automašīnu. Jūs vienkārši nosūtāt komandu “EngineStart” un atbildē saņemat veselu identifikatoru, kas apzīmē šīs komandas identifikatoru, šajā gadījumā tas ir ID = 3. Zinot identifikatoru, varat “izvilkt” pakalpojumu, kas ziņos par šīs komandas statusu. komandu.

Tātad, palielinot vai samazinot ID vērtību, es "velku" statusu jebkurai komandai, kas jebkad ir nosūtīta šajā sistēmā.

Tomēr tajā nav nekā īpaši interesanta, un es domāju, vai šeit ir tieša atsauce uz objektu, ko es varu izmantot, lai iedarbinātu savu automašīnu. Tāpēc es palaidu komandu "EngineStart" kā likumīgs lietotājs no sava konta un pēc tam mēģināju to izsaukt, izmantojot cita lietotāja kontu, kuram nevajadzētu piekļūt sistēmai. Atbildot uz to, es saņēmu kļūdas ziņojumu: "Šis konts nav hierarhijas kontekstā." Tātad, iespējams, šis uzlauzums nedarbosies. Tomēr, ja paskatās uz šo API, jūs redzēsit, ka tā dublē informāciju — lietotāja e-pasta adrese ir saistīta ar viņa konta ID.

Ja izstrādājat API vai uzlaužat API, šajā URL redzamā informācijas dublēšanās var būt kļūdu avots. Šajā gadījumā API kļūdas var izpausties četros dažādos veidos.

Ja paskatās uz 2. un 3. gadījumu, kas iezīmēts sarkanā krāsā, jūs varat redzēt tiešas atsauces uz objektu. Abos gadījumos sistēma nepārbauda, ​​vai jums ir tiesības izpildīt komandu. Es izmēģināju 2. gadījumu, bet tas nedarbojās, kā ar 3. gadījumu? Šeit mums vienkārši jāaizstāj USER_EMAIL konta ID, jo tas ir tieši saistīts ar ACCOUNT_ID konta ID. Iepriekš mēs izmantojām upura konta ID, bet tagad mēs izmantojam uzbrucēja kontu. Tāpēc es izmantoju hakera konta ID un upura ierīces ID, nosūtīju komandu un saņēmu komandas statusu "200 OK" un ieguvu kontroli pār lietotni MyCar.
Tātad, izmantojot trīs dažādus uzbrukuma vektorus, mēs varējām darīt visu, ko varēja darīt likumīgs lietojumprogrammas lietotājs. Tas nozīmē, ka jūs varat atrast jebkuru automašīnu pilsētā, iestatīt tās marku un modeli aplikācijā un pēc tam attālināti atbloķēt automašīnu un to iedarbināt. Mēs varam izslēgt vai ieslēgt signalizāciju, veikt izmaiņas automašīnas servisa izvēlnē un pārbaudīt jebkuras komandas statusu. Un to visu var izdarīt trīs dažādos veidos.

Ir acīmredzams, ka MyCar izstrādātāji mēģināja kaut kā novērst sistēmas kļūdas. Tāpēc cietkodētu paroļu gadījumā viņi vienkārši ievieto apgriezto starpniekserveri lietojumprogrammas priekšā, lai paslēptu autorizācijai izmantotos akreditācijas datus. Problēma ir tā, ka reversie starpniekserveri nav maģiski un nevar novērst visas problēmas. Viņi saglabāja SQL injekciju trešās puses pakalpojumā, lai pat bez paroles es varētu to izmantot, veicot lietotāja verifikācijas procedūru.

Es nolēmu sīkāk apskatīt URL struktūru. Iespējams, esat ievērojuši, ka visas sistēmas izmantotās adreses satur m2m. Nolēmis, ka šī ir sava veida iekšēja mijiedarbība ar MyCar lietojumprogrammas autorizācijas mehānismu, es ievadīju šos burtus Google un atklāju M2M Suite vietni. Vienīgais, ko varat darīt, kad redzat šo veidlapu, ir ievietot pāris pēdiņas un redzēt, kas notiek. Kas notiks, ir tas, ka jūs saņemsiet vēlamo SQL injekciju (auditorijas aplausi).

Un tas notiek vairākus mēnešus pēc tam, kad izstrādātāji ziņoja par problēmu ar SQL injekciju. Ja lietotnei ir šādas problēmas, tā ir jānovērš pēc iespējas ātrāk, taču, kā redzat, izstrādātāji neko nav darījuši. Manuprāt, šāda lietotāju ignorēšana ir aizskaroša.

MyCar modulim ir GPS vienība, lai tā varētu izsekot jūsu automašīnas atrašanās vietai un parādīt to lietojumprogrammā. Bet, kā izrādījās, viņi glabā ne tikai pašreizējo automašīnu atrašanās vietu. Tie glabā satriecoši daudz informācijas, daudz vairāk, nekā nepieciešams, lai izsekotu automašīnas pašreizējai atrašanās vietai. Manā gadījumā 13 lietojumprogrammas lietošanas dienu laikā viņi uzkrāja nedaudz mazāk par diviem tūkstošiem ģeogrāfiskās atrašanās vietas punktu no vietām, kuras apmeklēja mana automašīna. MyCar izstrādātāju kompānijas privātuma politikā par šādu informācijas vākšanu nav teikts ne vārda.

Tomēr tas kļūst vēl sliktāk. Jūs varētu iebilst, ka tas ir tikai atrašanās vietas pakalpojuma ieviešanas blakusefekts. Taču tā vietā, lai izveidotu sarakstu ar vietām, uz kurām brauc jūsu automašīna, viņi izmanto citu API, kas analizē šos datus un nosaka vietas, uz kurām jūsu automašīna dodas visbiežāk. Atkal, cik man zināms, privātuma politikā nav mājienu par šādu funkciju. Varbūt tas nav tik pārsteidzoši, jo pēc ilgas meklēšanas es atradu MyCar mātesuzņēmumu ar nosaukumu Procon Analytics, devos uz viņu vietni un apmeklēju sadaļu FAQ. Šeit es saskāros ar jautājumu: "Kā jūs nodrošinājat datu drošību?" Uzņēmuma atbilde bija: “Atšķirībā no publiskajiem mākoņiem, kas sacenšas par prioritāti datu glabāšanā, Procon Analytics izmanto savu virtuālo mākoni, kas tiek izmantots tikai mūsu aplikācijas lietotājiem un ir aizsargāts no citu lietotāju iejaukšanās. Šī ir īpaša mākoņa vide ar augstu drošības pakāpi, kas nodrošina ērtu pakalpojumu pieejamību un ātrumu. Sadarbojoties ar Procon Analytics, varat būt pārliecināti, ka jūsu dati ir droši aizsargāti. Es pat nezinu, ko teikt par šo...

Ieejot viņu Facebook lapā, var uzzināt vēl interesantākas lietas. Šeit viņi vienkārši raksta: "Informācijas par jūsu transportlīdzekli aizsardzība ir ļoti svarīga!" Nu tādam apgalvojumam varu tikai piekrist.

Tātad, atgriežoties pie jautājuma, ar kuru sāku: “Kā tas notiek un kā no tā var izvairīties”? Un vēl svarīgāk, kā mēs kā kopiena varam to novērst?

Ar to mans ziņojums ir noslēdzies, bet es joprojām varēšu atbildēt uz pāris jautājumiem (auditorijas aplausi).

Vai jūs jautājat, vai viņi visu salaboja? Šobrīd es domāju, ka viņi ir izlabojuši visas kļūdas, par kurām es viņiem ziņoju, izņemot konfidencialitātes politikas trūkumus, kurus minēju sarunas beigās. Kad pēdējo reizi to pārbaudīju, viss bija nemainīgs. Uz jautājumu, vai līdzīgā veidā varu rediģēt automašīnas elektroniskā dzinēja vadības bloka (ECU) parametrus, atbildēšu, ka mans uzdevums bija rediģēt automašīnas parametrus tikai MyCar aplikācijā. Tas saglabā transportlīdzekļa digitālo attēlojumu, kas tiek rediģēts, izmantojot tiešu piekļuvi objektam, SQL injekciju vai citu uzbrukuma vektoru.

Pēdējais jautājums ir: vai manā automašīnā ir bezatslēgas dzinēja iedarbināšanas sistēma ar pogu “Start” un kāda ir situācija ar stūres bloķēšanu šajā gadījumā? Mana atbilde ir tāda, ka MyCar ir tāda poga, tāpēc šai sistēmai nav stūres bloķēšanas. Man ir aizdomas, ka, uzstādot šo sistēmu, noteikti nevarēsiet paļauties uz stūres slēdzeni.

Dažas reklāmas 🙂

Paldies, ka palikāt kopā ar mums. Vai jums patīk mūsu raksti? Vai vēlaties redzēt interesantāku saturu? Atbalsti mūs, pasūtot vai iesakot draugiem, mākoņa VPS izstrādātājiem no 4.99 USD, unikāls sākuma līmeņa serveru analogs, ko mēs jums izgudrojām: Visa patiesība par VPS (KVM) E5-2697 v3 (6 kodoli) 10GB DDR4 480GB SSD 1Gbps no 19$ vai kā koplietot serveri? (pieejams ar RAID1 un RAID10, līdz 24 kodoliem un līdz 40 GB DDR4).

Dell R730xd 2x lētāk Equinix Tier IV datu centrā Amsterdamā? Tikai šeit 2x Intel TetraDeca-Core Xeon 2x E5-2697v3 2.6GHz 14C 64GB DDR4 4x960GB SSD 1Gbps 100 TV no 199$ Nīderlandē! Dell R420 — 2x E5-2430 2.2 GHz 6C 128 GB DDR3 2x960 GB SSD 1 Gbps 100 TB — no 99 USD! Lasīt par Kā izveidot infrastruktūras uzņēmumu klase ar Dell R730xd E5-2650 v4 serveru izmantošanu 9000 eiro par santīmu?

Avots: www.habr.com