Исследователи из Берлинского технического университета разработали метод джейлбрейка инфотейнмент-систем на базе процессоров AMD. Дело в том, что такие системы используются во всех последних моделях автомобилей Tesla, и исследователи получили возможность запускать на них любое ПО, а также разблокировать платные функции автомобилей.
Созданная исследователями атака позволяет извлечь уникальный ключ RSA, привязанный к железу (Tesla использует его для аутентификации автомобиля в своей сервисной сети), а также активировать программно заблокированные функции, включая подогрев сидений и Acceleration Boost, за которые владельцы Tesla обычно должны платить отдельно. При этом отмечается, что разблокировать таким способом функцию Full-Self Driving (FSD, знаменитый «автопилот» Tesla) не получится.
Свое исследование специалисты представят на конференции BlackHat 2023 в этом месяце. Уже сейчас известно, что они обнаружили, что человек, имеющий физический доступ к плате Infotainment and Connectivity ECU (ICE) автомобиля, может использовать известную атаку против AMD Secure Processor (ASP), на котором строится блок управления инфотейнмент-системами MCU-Z.
Фактически экспертам удалось взломать информационно-развлекательную систему, опираясь на прошлое исследование, которое обнаруживало возможность внедрения ошибок и извлечения секретов. Так как инфотейнмент-система Tesla основана на уязвимом процессоре AMD Zen 1, использование ранее обнаруженных уязвимостей помогло осуществить ее джейлбрейк.
Техника voltage glitching, также известная как внедрение ошибок, позволяет получить root-доступ и запустить произвольное ПО на MCU-Z для разблокировки некоторых платных функций авто. Более того, исследователи утверждают, что полученный таким способом доступ будет практически необратимым.
Кроме того, джейлбрейк позволяет извлечь защищенный TPM ключ аттестации, который Tesla использует для аутентификации автомобиля и проверки целостности его аппаратной составляющей, и перенести его на другой автомобиль. Исследователи объясняют, что это, например, может помочь использовать автомобиль в неподдерживаемых странах или выполнить самостоятельный ремонт. Однако это также может помочь злоумышленнику выдать свое авто за чье-то другое.
Исследователи отметили, что атаку, скорее всего, можно преобразовать в готовый «продукт», вроде мод-чипа, который будет использоваться для джейлбрейка по принципу plug-and-play. Сами эксперты чем-то подобным заниматься не планируют, так как с юридической и экономической точки зрения это была бы «весьма сомнительная бизнес-модель».
Авторы джейлбрейка сообщили журналистам издания Bleeping Computer, что они уведомили автопроизводителя о своих выводах, и компания уже работает над устранением обнаруженных проблем:
Тем не менее, атака на извлечение ключа все еще работает даже с новейшей прошивкой Tesla.
Созданная исследователями атака позволяет извлечь уникальный ключ RSA, привязанный к железу (Tesla использует его для аутентификации автомобиля в своей сервисной сети), а также активировать программно заблокированные функции, включая подогрев сидений и Acceleration Boost, за которые владельцы Tesla обычно должны платить отдельно. При этом отмечается, что разблокировать таким способом функцию Full-Self Driving (FSD, знаменитый «автопилот» Tesla) не получится.
Свое исследование специалисты представят на конференции BlackHat 2023 в этом месяце. Уже сейчас известно, что они обнаружили, что человек, имеющий физический доступ к плате Infotainment and Connectivity ECU (ICE) автомобиля, может использовать известную атаку против AMD Secure Processor (ASP), на котором строится блок управления инфотейнмент-системами MCU-Z.
Фактически экспертам удалось взломать информационно-развлекательную систему, опираясь на прошлое исследование, которое обнаруживало возможность внедрения ошибок и извлечения секретов. Так как инфотейнмент-система Tesla основана на уязвимом процессоре AMD Zen 1, использование ранее обнаруженных уязвимостей помогло осуществить ее джейлбрейк.
«В настоящее время реализовать нашу атаку смогут люди, которые обладают определенными познаниями в области электронного оборудования, умеют обращаться с паяльником и могут приобрести дополнительное оборудование стоимостью примерно 100 долларов, — рассказывают эксперты. — Мы рекомендуем использовать плату Teensy 4.0, которую легко использовать для атак voltage glitching с нашей опенсорсной прошивкой. Также потребуется программатор SPI-Flash и логический анализатор, который может помочь в отладке атаки».
Техника voltage glitching, также известная как внедрение ошибок, позволяет получить root-доступ и запустить произвольное ПО на MCU-Z для разблокировки некоторых платных функций авто. Более того, исследователи утверждают, что полученный таким способом доступ будет практически необратимым.
«Полученные нами root-права позволяют вносить произвольные изменения в Linux, которые выдержат перезагрузки и обновления», — говорят авторы атаки.
Кроме того, джейлбрейк позволяет извлечь защищенный TPM ключ аттестации, который Tesla использует для аутентификации автомобиля и проверки целостности его аппаратной составляющей, и перенести его на другой автомобиль. Исследователи объясняют, что это, например, может помочь использовать автомобиль в неподдерживаемых странах или выполнить самостоятельный ремонт. Однако это также может помочь злоумышленнику выдать свое авто за чье-то другое.
Исследователи отметили, что атаку, скорее всего, можно преобразовать в готовый «продукт», вроде мод-чипа, который будет использоваться для джейлбрейка по принципу plug-and-play. Сами эксперты чем-то подобным заниматься не планируют, так как с юридической и экономической точки зрения это была бы «весьма сомнительная бизнес-модель».
Авторы джейлбрейка сообщили журналистам издания Bleeping Computer, что они уведомили автопроизводителя о своих выводах, и компания уже работает над устранением обнаруженных проблем:
«Tesla сообщила нам, что наш PoC для включения обогрева задних сидений опирается на старую версию прошивки. В более новых версиях [прошивки] обновление этого элемента конфигурации возможно только при наличии действительной подписи Tesla (проверенной/подтвержденной шлюзом). Таким образом, хотя наши атаки заложили важную основу для экспериментов с системой в целом, для включения обогрева задних сидений или любой другой заблокированной функции потребуется еще один программный или аппаратный эксплоит и атака на шлюз».
Тем не менее, атака на извлечение ключа все еще работает даже с новейшей прошивкой Tesla.