通过对My BMW Remote移动应用的加密算法与密钥表的了解,我可以轻易地解码与分析这条消息。为了查看汽车的反应,我使用模拟的蜂窝网络向汽车发送消息的副本(重放攻击)。
攻击宝马ConnectedDrive系统
接收到短信之后,汽车大约花费一分钟启动连接到主处理单元的系统。COMBOX通过蜂窝网向宝马后台服务器发起连接,并尝试访问服务器上的数据。如果Combox没有接收到任何数据,连接被终止,什么事情也不会发生。这就意味着短信不足以打开车门,系统还需要来自后台进一步的数据。
对于刚刚发生的事情,令人吃惊的是汽车与宝马服务器之间的蜂窝连接可以在模拟网络中毫无保留的记录下来。汽车只是发送一个简单HTTP Get请求,在传输过程并没使用SSL或TLS加密。
为查明汽车期望从宝马后台获得的数据,在利用短信开始重放攻击之前,我至需通过App触发解锁序列。通过这种方式,服务器便会存储有关我这辆汽车的所需信息。紧接着,车门便打开了。
新数据可以使用上面所述的方法来解密与分析。这一次所用的协议又是NGTP,但使用不同的签名算法与加密算法:AES128而不是DES,HMAC-SHA256而不是DES-CBC-MAC,但是使用相同的加密表。
破门而入
现在,我已经具备充足的知识来模拟解锁功能的所有组件。我可以伪造打开车门的数据,而所需的设备只是一个基站和一台笔记本,这台笔记本将发送伪造的短信,然后再伪装成宝马的后台服务器。
问题是已经提取出来的密钥是否适用于其他的汽车。对其他几台宝马汽车的测试让我吃下定心丸。在这个测试过程,我获知了一些额外情况。如果配备ConnectedDrive的车辆没有激活远程服务,远程打开车门就不能奏效。不过,我们可以利用模拟的蜂窝网络来激活远程服务。
这个工作类似于前面的攻击。汽车发送一条短信,指示它从BMW服务器上下载新的配置数据。配置数据通过HTTP Get请求加载,配置数据被格式化成未加密且易于理解的XML文件。配置文件并不能防篡改,这种问题原本可以利用数据签名轻易解决。这就意味着我可以使用模拟网络轻易地激活远程服务,然后再打开车门。
