以下內容整理自談思AutoSec 8周年年會。

分享嘉賓：小米科技高級安全專家 尹小元

嘉賓簡介：小米車聯網安全專家，智能終端安全實驗室負責車聯網安全工作，10余年安全工作經驗，多次參加GeekPwn和汽車安全比賽并榮獲多項大獎。精通IOT、移動端和車聯網安全。在車聯網安全體系建設和漏洞挖掘上有著豐富的安全經驗和深入的研究。

我的演講主題是《Tbox-黑客手中的潘多拉魔盒》。對我們來說，Tbox就是一個黑盒，它的功能非常強大，如果通過黑客的手段把Tbox變成一個灰盒或者一個白盒的話，就會給我們帶來很大風險，而且是一些可預測的風險，比如說遠程控制等。

本次的主題演講主要分為三部分，一是介紹Tbox的功能點和風險；二是結合實際案例分析Tbox所面臨的一些威脅場景；三是從甲方和消費者的視角，來探討問題的解決之道。

01 Tbox的功能點和風險

首先，大概介紹一下Tbox的功能。如圖1所示，這是一個比較典型的Tbox硬件設備，外觀上來看其實挺簡單的，它主要會預留一些硬件的接納口。概念上的話，Tbox就是一個通信盒子，它是一個遠程的通信終端，可以啟動遠程通信及網絡服務的一些功能。

從接口上看，它有UART、USB、JTAG、ETH、CAN等接口，這些接口提供了很好的調試作用，不過，這些接口從我們安全研究的角度來看，其實相當危險。

圖1

從模塊上看，Tbox有4G、5G模塊，以及藍牙、以太網、GPS 等模塊，在這些功能模塊中，我們比較關心的是具有遠程控制功能的一些模塊，因為如果有這些遠程控制功能存在問題的話，對我們來說是很好去利用的。有了這些功能，我們才會進一步去分析這些硬件設備。

Tbox大家都知道，但是不一定都拆過，我們團隊在閑時對市面上比較流行的Tbox基本都拆了一遍。

如圖2所示，最左邊的是基礎版Tbox，像這類Tbox的功能就比較簡單，大多數就是消息推送或數據上報，還有一些會有告警信息的功能。一般來說，這些功能沒有太大的安全風險，但是2020年發生過一個案例：上海某些汽車的Tbox信息系統里彈出了類似于“上海發生槍戰”的消息，造成了一定的恐慌，其實這就是Tbox被黑后造成的。還有一些Tbox比較老，里面用的是SIM卡，把SIM卡插到手機上，就可以通到汽車的內網中。

圖2

圖2中間的這個就是帶有遠控功能的Tbox，它做得還是比較復雜、比較大的，而且功能也比較強大，里面有不少業務功能。說實話，我們比較喜歡這種功能復雜、且帶有各種遠控功能的Tbox，因為功能越多，出錯的可能性就越大。最右邊這張圖是我們研究過的30多家廠商的Tbox。

圖3是Tbox的一個功能框圖。從這個框架圖來看，結構還是比較簡單的，就是5G模組、MCU、接插件和一些外圍接口組成。

圖3

這里主要從硬件和接口這兩方面做一下分析。硬件方面，我們比較關注一些遠程控制的模塊，比如WiFi、藍牙、耳機等。其中，我們對藍牙研究得比較深，很多場合的藍牙多少都會有一些問題，攻擊者可以輕易地通過藍牙漏洞進到車里，或者實行一些遠程控車。接口方面，在調試或者分析控車的一些應用時，需要通過接口進到車里，所以它也是非常重要的一點。

圖4是基于時間軸梳理的一些云管端安全案例，從這些案例中，我們可以看到，不管是油車還是電車，都面臨不少安全風險。

圖4

如圖5所示，這是我們在某海鮮市場上買的Tbox案例。拿到這種硬件設備，我們首先會分析它的供電，看看怎么讓它跑起來；然后再去研究它的激活方式，怎么把它的屏幕點亮；再就是通過調試口進到系統內部去，去分析一些控車的利用邏輯。有些調試口需要驗證，所以我們要通過暗碼來打通這個鏈路，才能進到系統內部去分析。

圖5

不管拿到什么樣的Tbox，首先都是看看有沒有控車的功能，沒有控制功能的話，做再多的東西都是白費。其實我們之前也買過一些只有簡單的數據上報或者信息推送功能的Tbox，這些對安全來說，是沒什么價值的。

其次是看調試口，因為只有拿下那個調試口，才能進到系統里面，去分析哪些是控車應用，做一些工作的運行檢查，從而減少我們很多時間。

最后一點就是提固件。很多時候，調試口是封閉的，或者說沒有預留調試口，我們就需要去把Tbox的UFS或者eMMC固件提取出來，再做進一步分析。如果固件有讀寫保護的話，可以用如故障注入等一些高級的應用方法來處理。

02 Tbox漏洞分析

介紹完Tbox，接下來就結合實際案例分析一下Tbox漏洞。

如案例1是通過邏輯分析儀找到了硬件PCB上隱藏的一個UART，通過這個UART我們可以去直接開啟adb，打開調試模式。如下圖所示，最左邊是它的網卡信息，右邊就是通過UART開啟調試的方法。

其他一些案例有：通過逆向app、逆向固件、復雜條件下的固件提取、提取固件逆向、逆向某證書等方式實現控車的案例，如：

03 安全建議

最后從廠商和消費者兩個視角分別提一下個人安全建議。

對于廠商，我希望廠商多重視安全人才的建設，特別是在0-1和1-N階段，要注重核心人才的投入。企業的安全能力建設主要從下面四個維度介紹。

在初始階段，最主要的是安全基線，打好基線就是做好基座，要做好方案的評審，有條件的話，還要做三方滲透；在發展階段，要把安全介入到整個測試流程中去，包括開發人員也要把安全融入到開發過程中去；在穩定階段，安全制度流程已經建立；到了成熟階段，安全平臺做得很好，滲透一類的操作可以通過平臺去跑，安全人員只要看看日志以及平臺的一些告警就可以了。

對于消費者而言，怎么來看自己購買的車是否安全。首先，建議買大廠的，這里要提一下，別看特斯拉是被報道過的破解最多的就以為它不安全，這是陷入了幸存者偏差的誤區，從我個人角度來看，特斯拉的安全應該是所有車廠中做得最好的。

第二，在新勢力和老牌車廠中如何選擇？對新勢力來說，它的優勢在于安全投入相對較高，還是建議體驗一下；從市場占有率的角度來說，占有率大的車廠，它有一定的存量市場，有持續的造血能力，它肯定在安全方面有一定投入，所以建議在大的廠商里去選擇。

第三，你要是實在不放心，就買傳統車，買那些沒有TBOX和IVI等設備的老爺車；最后一點，就是國內的環境相對來說還是很好的，不像國外有很多的偷車或盜車的場景，國內的話，安全圈其實很小，特別是汽車安全圈，一般不會有大規模的漏洞泄露的情況。

尹小元的完整演講PPT，可關注“談思汽車”公眾號，后臺回復“小米尹小元”，獲取PPT下載鏈接。

- THE END -

審核編輯 黃宇