Исследователи из Берлинского технического университета разработали метод джейлбрейка инфотейнмент-систем на базе процессоров AMD. Дело в том, что такие системы используются во всех последних моделях автомобилей Tesla, и исследователи получили возможность запускать на них любое ПО, а также разблокировать платные функции автомобилей.
Созданная исследователями атака позволяет извлечь уникальный ключ RSA, привязанный к железу (Tesla использует его для аутентификации автомобиля в своей сервисной сети), а также активировать программно заблокированные функции, включая подогрев сидений и Acceleration Boost, за которые владельцы Tesla обычно должны платить отдельно. При этом отмечается, что разблокировать таким способом функцию Full-Self Driving (FSD, знаменитый «автопилот» Tesla) не получится.
Свое исследование специалисты представят на конференции BlackHat 2023 в этом месяце. Уже сейчас известно, что они обнаружили, что человек, имеющий физический доступ к плате Infotainment and Connectivity ECU (ICE) автомобиля, может использовать известную атаку против AMD Secure Processor (ASP), на котором строится блок управления инфотейнмент-системами MCU-Z.
Фактически экспертам удалось взломать информационно-развлекательную систему, опираясь на прошлое исследование, которое обнаруживало возможность внедрения ошибок и извлечения секретов. Так как инфотейнмент-система Tesla основана на уязвимом процессоре AMD Zen 1, использование ранее обнаруженных уязвимостей помогло осуществить ее джейлбрейк.
«В настоящее время реализовать нашу атаку смогут люди, которые обладают определенными познаниями в области электронного оборудования, умеют обращаться с паяльником и могут приобрести дополнительное оборудование стоимостью примерно 100 долларов, — рассказывают эксперты. — Мы рекомендуем использовать плату Teensy 4.0, которую легко использовать для атак voltage glitching с нашей опенсорсной прошивкой. Также потребуется программатор SPI-Flash и логический анализатор, который может помочь в отладке атаки».
Техника voltage glitching, также известная как внедрение ошибок, позволяет получить root-доступ и запустить произвольное ПО на MCU-Z для разблокировки некоторых платных функций авто. Более того, исследователи утверждают, что полученный таким способом доступ будет практически необратимым.
«Полученные нами root-права позволяют вносить произвольные изменения в Linux, которые выдержат перезагрузки и обновления», — говорят авторы атаки.
Кроме того, джейлбрейк позволяет извлечь защищенный TPM ключ аттестации, который Tesla использует для аутентификации автомобиля и проверки целостности его аппаратной составляющей, и перенести его на другой автомобиль. Исследователи объясняют, что это, например, может помочь использовать автомобиль в неподдерживаемых странах или выполнить самостоятельный ремонт. Однако это также может помочь злоумышленнику выдать свое авто за чье-то другое.
Исследователи отметили, что атаку, скорее всего, можно преобразовать в готовый «продукт», вроде мод-чипа, который будет использоваться для джейлбрейка по принципу plug-and-play. Сами эксперты чем-то подобным заниматься не планируют, так как с юридической и экономической точки зрения это была бы «весьма сомнительная бизнес-модель».
Авторы джейлбрейка сообщили журналистам издания Bleeping Computer, что они уведомили автопроизводителя о своих выводах, и компания уже работает над устранением обнаруженных проблем:
«Tesla сообщила нам, что наш PoC для включения обогрева задних сидений опирается на старую версию прошивки. В более новых версиях [прошивки] обновление этого элемента конфигурации возможно только при наличии действительной подписи Tesla (проверенной/подтвержденной шлюзом). Таким образом, хотя наши атаки заложили важную основу для экспериментов с системой в целом, для включения обогрева задних сидений или любой другой заблокированной функции потребуется еще один программный или аппаратный эксплоит и атака на шлюз».
Тем не менее, атака на извлечение ключа все еще работает даже с новейшей прошивкой Tesla.