花 170 元黑掉馬斯克星鏈終端 黑客公開自制工具

  網絡滲透測試     |      2023-04-15 07:52

被馬斯克大吹特吹的 " 星鏈(Starlink)",黑客竟然只需 170 塊人民幣就能輕松攻破?

沒錯,一位比利時小哥在今年的黑帽大會(Black Hat Conference)上公開演講展示了自己是如何做到的。

他自制了一個可以連接到星鏈終端的定制黑客工具,而這款工具的基礎,是一種名為 "modchip" 的電路板,售價不到 170 元。

連接到星鏈終端后,該自制工具就能發起故障注入攻擊,導致系統暫時短路以繞開星鏈安全保護機制,繼而成功侵入星鏈系統中原本鎖定的部分。

目前,這位小哥已將該工具在 GitHub 上開源發布,并分享了關于攻擊方式的一些細節。

具體怎么個情況,我們一起來看看。

攻擊怎么做到的?

星鏈,是馬斯克旗下 SpaceX 公司推出的一項衛星互聯網服務。

它的互聯網系統由三個主要部分組成:

負責實現信號覆蓋的衛星、將互聯網連接發送到衛星的網關 ( Gateway ) ,以及用戶購買安裝的 Dishy McFlatface 衛星天線。

來自比利時魯汶大學的安全研究員 Lennert Wouters 的研究,主要集中在這些用戶終端(天線)上。

他解釋道:

站在攻擊者的角度,首先想到的自然是攻擊衛星本體,也就是構建自有系統與衛星通信。但這顯然非常困難。所以要想成功攻擊,最好能借助于用戶終端,這樣很多難題就迎刃而解了。

為此,Wouters 改造了他購買的一個星鏈天線,用 " 熱風槍、撬棒、異丙醇再加上極大的耐心 " 取下天線上的金屬蓋,逐一分析星鏈終端的內部組件。

在直徑達 59 厘米的金屬蓋下,隱藏著一個大型 PCB。

其中的片上系統包括一枚定制化四核 ARM Cortex-A53 處理器,由于架構未經公開所以破解難度極大。板上的其他元件還包括射頻設備、以太網供電系統和 GPS 接收器。

親手拆解之后,Wouters 逐漸弄清了星鏈終端是如何啟動、又是怎樣下載固件的。

為了進一步設計定制的 modchip,Wouters 掃描了星鏈天線并找到了最適合當前星鏈電路板的設計方案。

他設計的 modchip 需要通過幾根線纜被焊接到星鏈 PCB 上,modchip 本體則由樹莓派微控制器、閃存、電子開關和穩壓器組成。

有趣的是,在設計這塊終端電路板時,星鏈工程師們在其上印制上了 " 人類制造于地球 "(Made on Earth by humans)的字樣。

Wouters 則在自己的 modchip 上幽默了一把,印上了 " 人類在地球上制造的故障 "(Glitched on Earth by humans)。

為了接入終端軟件,Wouters 的定制系統會通過電壓故障注入攻擊繞過安全保護機制。

在星鏈天線開啟時,會經歷多個不同的引導程序加載階段。Wouters 的攻擊指向第一個引導加載程序(即 ROM 引導加載程序),此程序是被刻錄到片上系統的,因此無法更新。

攻擊成功后,他會在接下來的其他引導加載程序上修改固件,從而奪取對終端天線的控制權。

Wouters 解釋道:" 總體來看,最理想的攻擊切入點就只有兩個:簽名驗證,或者哈希驗證。"

他的方法指向的正是簽名驗證過程。" 工程師在設計的時候會努力避免短路,但我們的攻擊方法卻是在刻意利用短路。"

最初,Wouters 本打算在啟動周期結束時(即 Linux 操作系統全部加載完成)再向芯片注入故障,但最終發現搶在啟動開始時注入才是正確思路。Wouters 表示,這種方式的可靠性更高。

為了注入故障,他必須讓負責平滑電源的去耦電容停止工作。所以,Wouters 攻擊方案的實質就是先禁用去耦電容,再運行故障以繞過安全保護,最后重新啟用去耦電容。

經此過程,Wouters 就能在啟動周期之內篡改并運行星鏈固件,最終獲得底層系統訪問權限。

除此之外,Wouters 指出,在他研究期間,星鏈方面也做出過回應,表示愿意向他提供研究員級別的設備軟件訪問權限,但被他拒絕了。

雖然他設計的定制版 modchip 已經公布在 GitHub 上,但 Wouters 并沒有出售 modchip 成品的打算,也從未向他人提供過篡改后的用戶終端固件,或者利用此漏洞的確切細節獲利。

星鏈回應

在 Wouters 的 Black Hat 會上演講結束后,星鏈方面發布了一份六頁的 PDF,解釋了其系統保護思路,文章提到:

我們意識到這是一種令人印象深刻的高水平攻擊思路,也是我們在系統中發現的首例此類攻擊。

這讓我們認識到,能夠物理侵入星鏈終端的攻擊者可以借此奪取訪問權限、實施惡意活動。因此,我們將依靠「最低權限」設計原則限制這類攻擊產生廣泛影響。

星鏈項目方重申,此攻擊需要對用戶終端進行物理訪問,并強調對安全啟動系統注入故障只會影響到當前設備。

整個星鏈系統的其余部分不會因此受到影響。

換言之,普通星鏈用戶無需擔心受此攻擊影響,也無需采取任何應對措施。

One More Thing

除了設計出攻擊星鏈的黑客工具,這個比利時小哥之前還曾攻破過特斯拉高端車型 Model X 的安全漏洞。

創下了 " 用自制硬件在 90 秒內解鎖特斯拉汽車 " 的記錄,并迫使特斯拉推出了一系列修復方案。

在演示視頻里,研究人員只用 2000 元左右,就可以用電腦 DIY 一個 " 車鑰匙 ",90 秒打開車門,不到幾分鐘,就能把車開走。

特斯拉引以為傲的無鑰匙進入,變成了真正字面意義上的 " 無鑰匙進入 "。

特斯拉、星鏈……不知道這位小哥的下一個目標是哪家公司?(手動狗頭)