据一组学术研究人员称，特斯拉电动汽车的车载娱乐系统存在一个几乎无法修复的漏洞，可以让车主免费解锁一系列付费功能，包括提高加速性能和开启加热座椅等。研究人员还发现，可以从娱乐系统跳转到特斯拉内部网络，进行车辆认证，从而打开更多可能性，包括突破导航和自动驾驶的地理限制，以及将特斯拉的“用户档案”迁移到另一辆车上。

据IT之家了解，所有最新的特斯拉汽车都配备了一款基于 AMD 的娱乐系统，称为 MCU-Z，可以通过 OTA 更新来启用高级功能。

这正是柏林工业大学的一组博士生和独立研究员 Oleg Drokin 的攻击目标。他们将在下周的美国黑帽大会上首次公布这项研究，题为“2023 年电动汽车越狱或者说如何开启特斯拉基于 x86 的加热座椅”。

(资料图)

研究人员发现，只要能够物理接触汽车的娱乐和连接电子控制单元（ICE）板，就可以利用一种已知的电压故障注入攻击来绕过 MCU-Z 的 AMD 安全处理器（ASP）。博士生 Christian Werling 说：“目前，我们的攻击可以由具有一些电子工程背景、一个焊接铁和花大约 100 美元购买额外硬件的人来执行。我们建议使用一个 Teensy 4.0 开发板来进行电压故障注入，可以很容易地使用我们开源的攻击固件。还需要一个 SPI 闪存编程器，一个逻辑分析仪可以大大帮助调试整个攻击。”

Werling 解释说，电压故障注入不仅可以获得根访问权限并在 MCU-Z 上运行任意软件来解锁一些付费功能，而且这种访问权限几乎无法撤销。“虽然（电压故障注入）比纯软件攻击更难执行，但如果不升级 CPU，漏洞就无法修复。我们获得的根权限可以对 Linux 进行任意修改，这些修改可以在重启和更新汽车后保持不变。”

在成功执行故障注入攻击来绕过 ASP 后，团队能够逆向工程引导流程，最终提取出车辆唯一、硬件绑定的 RSA 密钥，用于向特斯拉内部服务网络进行身份验证和授权。

Werling 解释说：“系统上还有一个更高权限级别用于存储车辆连接特斯拉网络的密钥。使用相同的攻击和对基于固件的可信平台模块（TPM）进行复杂逆向工程，我们能够提取这些密钥。”

团队发现，拥有这些密钥可以为车主打开一系列额外的可能性，包括绕过地理围栏以获得高级功能。

独立研究员 Drokin 说：“特斯拉对一些功能进行了锁定，最常见的是地图。只有少数几个地区支持地图，如果车辆恰好在这些地区之外，用户就完全没有导航支持。”

他还指出，在北美的车辆可以使用 FSD Beta 功能，而欧洲的特斯拉汽车则不能，而这种攻击“可以帮助解除这些限制，尽管这需要更多的逆向工程。”

此外，有了特斯拉用来认证车辆的密钥，就可以将车辆的身份迁移到另一台车载电脑上。Drokin 指出，这在处理器损坏的情况下会派上用场。他解释说：“eBay 上的 Model 3 车载电脑价格在 200 到 400 美元之间，而特斯拉卖 1700 到 2700 美元（取决于型号）。如果只是重复使用 ICE 而不配置密钥，就会失去车辆的所有特斯拉服务，包括应用程序访问、软件和地图更新等。”

本文源自：IT之家

关键词：