中央西門風痕影
好奇
Probing a $69,000 Chinese Electric Vehicle for Clues...
彭博社本周的 Cyber Bulletin 報導中,提到 Tor Indstøy 於 2022 年為了家人買新車,選了中國電動車「蔚來 ES8」,目的之一是想與朋友一起分析這輛車,並發表研究結果
他將專案取名為 Project Lion Cage(意為「獅籠」)
彭博社本周的 Cyber Bulletin 報導中,提到 Tor Indstøy 於 2022 年為了家人買新車,選了中國電動車「蔚來 ES8」,目的之一是想與朋友一起分析這輛車,並發表研究結果
他將專案取名為 Project Lion Cage(意為「獅籠」)
嗚嗚... 可是機器狼要上班呢汪 
此專案於 2023 年 7 月開始,是他的個人專案,與他是挪威電信(Telenor ASA)「風險管理與威脅情報副總」的身分無關
電動車的晶片動輒多達兩至三千顆,但要分析他們須從頭開始,因為現有針對個人電腦與伺服器的分析工具派不上用場
他們目前沒有找到重大的問題,但有一些潛在的隱憂:
- 通訊中有 90% 的請求是發往中國
- 有些通訊具有模糊性,例如有個位於 nio . com 網域的未加密文件常被下載,但目前還搞不清楚用途
電動車的晶片動輒多達兩至三千顆,但要分析他們須從頭開始,因為現有針對個人電腦與伺服器的分析工具派不上用場
他們目前沒有找到重大的問題,但有一些潛在的隱憂:
- 通訊中有 90% 的請求是發往中國
- 有些通訊具有模糊性,例如有個位於 nio . com 網域的未加密文件常被下載,但目前還搞不清楚用途
原始的專案文章發表在 LinkedIn,從 2023 年 7 至 8 月發表了 7 篇。我好像沒看到有其他後續
彭博社的報導裡提到:上個月 Indstøy 將此專案開放給資安社群裡有興趣幫忙的成員
彭博社的報導裡提到:上個月 Indstøy 將此專案開放給資安社群裡有興趣幫忙的成員
我搭配 Google 翻譯大致看過,並細讀了一些有興趣的段落:
-
Part 1 提到了專案的源起,以及名稱的由來:獅子是中國文化裡的守護神,也是該車商的吉祥物
不過我查了一下,沒查到他們有獅子吉祥物,倒是配合虎年有出過老虎吉祥物,也有全部十二生肖的樣子:
這篇也提到了這只是個人專案,與他本身的工作無關
-
Part 1 提到了專案的源起,以及名稱的由來:獅子是中國文化裡的守護神,也是該車商的吉祥物
不過我查了一下,沒查到他們有獅子吉祥物,倒是配合虎年有出過老虎吉祥物,也有全部十二生肖的樣子:
這篇也提到了這只是個人專案,與他本身的工作無關
Part 3 提到了 Wi-Fi 晶片 MAC 地址的前三個位元組可以看出製造商,結果製造商位於瑞士
他們也用軟體紀錄了 DNS lookup,並「手動」於 maxmind . com 查詢這些網站的地理位置
分析出來的結果有 89.68% 位於中國
他們也用軟體紀錄了 DNS lookup,並「手動」於 maxmind . com 查詢這些網站的地理位置
分析出來的結果有 89.68% 位於中國
Part 4 分析了這些資料
文內提及:蔚來在歐洲有資料中心,因此這些資料為何選擇直接傳輸到中國值得玩味
不過,在這些請求中,有很大部分都是從 tsp . nio . com 取得特定的未加密文件(即前面提到的):
而該檔案長這個樣子,目前用途不明:
文內提及:蔚來在歐洲有資料中心,因此這些資料為何選擇直接傳輸到中國值得玩味
不過,在這些請求中,有很大部分都是從 tsp . nio . com 取得特定的未加密文件(即前面提到的):
而該檔案長這個樣子,目前用途不明:
Part 5 討論了託管環境的安全
由於資料中心的建設成本巨大,企業通常都是租用現有的資料中心。他用其中一個位於北京的 IP,搭配 Google Maps 找到資料中心的位置
他提到了一些從地圖上找到資料中心的分辨方式:
- 設施很大,但窗戶很少
- 屋頂上有大型的冷卻陣列
- 為了疏散上的要求,設施前所停的汽車通常將車尾朝向建築
- 為了符合國際標準,資料中心的位置會有一些規定,例如 TIA 942 標準中 Tier 4 等級的資料中心不可以位於機場、實驗室、化工廠等的 0.4 公里範圍內
由於資料中心的建設成本巨大,企業通常都是租用現有的資料中心。他用其中一個位於北京的 IP,搭配 Google Maps 找到資料中心的位置
他提到了一些從地圖上找到資料中心的分辨方式:
- 設施很大,但窗戶很少
- 屋頂上有大型的冷卻陣列
- 為了疏散上的要求,設施前所停的汽車通常將車尾朝向建築
- 為了符合國際標準,資料中心的位置會有一些規定,例如 TIA 942 標準中 Tier 4 等級的資料中心不可以位於機場、實驗室、化工廠等的 0.4 公里範圍內
後面他分析了此次有發現的服務們,其中有些比較有趣的:
- 騰訊的 www . qq . com 選擇將服務託管於瑞典斯德哥爾摩的 Akamai 公司,以符合 GDPR 等要求
- 他們猜測 nioeu-nautilus-external-alb-147681110 . eu-central-1 . elb . amazonaws . com 裡的 nautilus 是指 Nautilus。該公司是 AWS 的諮詢合作夥伴,應該是由他們協助建置與管理蔚來在 AWS 的雲端服務。AWS 區域則位於歐洲
- 蔚來的導航與韌體 OTA 更新也使用了歐洲區的 AWS
- 騰訊的 www . qq . com 選擇將服務託管於瑞典斯德哥爾摩的 Akamai 公司,以符合 GDPR 等要求
- 他們猜測 nioeu-nautilus-external-alb-147681110 . eu-central-1 . elb . amazonaws . com 裡的 nautilus 是指 Nautilus。該公司是 AWS 的諮詢合作夥伴,應該是由他們協助建置與管理蔚來在 AWS 的雲端服務。AWS 區域則位於歐洲
- 蔚來的導航與韌體 OTA 更新也使用了歐洲區的 AWS
Part 6 開始,他們打算直接找漏洞,看能不能破解這輛汽車,最後是沒有成功(他將其中一部分歸功於歐洲零件)
不過他的文章裡有些有趣的地方:
1. 為了分析漏洞,軟體要執行很長的時間,因此他去公司把車停到停車場、購物時把車停在店外面、甚至車子已經開回家後等情況,都只好讓車子一直處在沒有熄火的狀態,還被鄰居傳訊息關心:車子這麼晚了還啟動著是正常的嗎?
2. 因為歐盟法律的要求,2014 年起生產的汽車,輪胎都會藏有胎壓跟溫度的感測器。每個輪胎感測器有獨立且固定的 ID,而且都以未加密的方式發送測量的資訊
不過他的文章裡有些有趣的地方:
1. 為了分析漏洞,軟體要執行很長的時間,因此他去公司把車停到停車場、購物時把車停在店外面、甚至車子已經開回家後等情況,都只好讓車子一直處在沒有熄火的狀態,還被鄰居傳訊息關心:車子這麼晚了還啟動著是正常的嗎?
2. 因為歐盟法律的要求,2014 年起生產的汽車,輪胎都會藏有胎壓跟溫度的感測器。每個輪胎感測器有獨立且固定的 ID,而且都以未加密的方式發送測量的資訊
所以:無論買的是什麼車,只要有人買個 USB SDR 無線電接收機,就可以分析這些車子的感測器資料。他實際上到高速公路上開了 9 公里,就蒐集到了 64 顆輪胎的資料
3. 他想用藍牙偵測器抓取車子鑰匙的訊號,卻抓到了一大堆家裡、鄰居的藍牙設備
「這表明了我們周圍的所有設備都存在著大量的洩漏。無論是智慧型電視、耳機、手錶、webcam、鍵盤、滑鼠、麥克風、印表機還是喇叭,現在幾乎所有使用藍牙的裝置,都在向全世界發送他們的 ID」
3. 他想用藍牙偵測器抓取車子鑰匙的訊號,卻抓到了一大堆家裡、鄰居的藍牙設備
「這表明了我們周圍的所有設備都存在著大量的洩漏。無論是智慧型電視、耳機、手錶、webcam、鍵盤、滑鼠、麥克風、印表機還是喇叭,現在幾乎所有使用藍牙的裝置,都在向全世界發送他們的 ID」
Part 6 的語音控制功能他獨立了一篇出來。他們測試了三個語音指令,想確認會送到外部,還是由車子本身處理:
- 啟動座椅按摩功能
- 問天氣預報
- 問奧斯陸到柏林的路線
結果這三個指令都會送到美國公司 Cerence Inc. 的 API(該服務位於荷蘭的微軟資料中心)
他們推測:可能車子賣到中國境外時,會把語音服務的處理也替換成美國供應商
而他比較擔憂的部分是:就連按摩功能這種不需要由外部處理的指令,一樣也會送去給外部
-
- 啟動座椅按摩功能
- 問天氣預報
- 問奧斯陸到柏林的路線
結果這三個指令都會送到美國公司 Cerence Inc. 的 API(該服務位於荷蘭的微軟資料中心)
他們推測:可能車子賣到中國境外時,會把語音服務的處理也替換成美國供應商
而他比較擔憂的部分是:就連按摩功能這種不需要由外部處理的指令,一樣也會送去給外部
-
