Οι χάκερ θα μπορούσαν να πάρουν τον έλεγχο του ταμπλό αυτοκινήτου παραβιάζοντας το μόντεμ του

Τα σύγχρονα οχήματα καθορίζονται όλο και περισσότερο από τη συνδεσιμότητα τους, μετατρέποντάς τα σε εξελιγμένες συσκευές IoT σε τροχούς. Ενώ αυτή η ψηφιακή εξέλιξη ενισχύει την οδηγική εμπειρία, εισάγει σοβαρούς κινδύνους για την ασφάλεια.

Ένα υποθετικό σενάριο όπου ένα ταμπλό αυτοκινήτου κλέβεται εξ αποστάσεως για να τρέξει βιντεοπαιχνίδια όπως το Doom έχει γίνει μια τρομακτική πραγματικότητα.

Αυτή η ευπάθεια προέρχεται από την ενσωματωμένη τεχνολογία System-on-Chip που χρησιμοποιείται σε μονάδες κεφαλής αυτοκινήτων, ειδικά σε αυτές που συνδυάζουν επεξεργαστές εφαρμογών και επικοινωνίας για τη διαχείριση των λειτουργιών του οχήματος.

Το βασικό πρόβλημα έγκειται στο Unisoc UIS7862A System-on-Chip, ένα εξάρτημα που χρησιμοποιείται ευρέως σε σύγχρονες μονάδες κεφαλής οχημάτων.

Αυτό το τσιπ ενσωματώνει ένα μόντεμ υπεύθυνο για τη συνδεσιμότητα 3G, 4G και 5G. Οι εισβολείς μπορούν να εκμεταλλευτούν τις αδυναμίες αυτού του μόντεμ για να αποκτήσουν αρχική είσοδο.

Μόλις μπουν μέσα, μπορούν να περιστρέφονται πλευρικά στον επεξεργαστή εφαρμογών, παίρνοντας ουσιαστικά τον έλεγχο του λειτουργικού συστήματος του ταμπλό και θέτοντας σε κίνδυνο τα δεδομένα των χρηστών.

Securelist αναλυτές αναγνωρισθείς ένα κρίσιμο ελάττωμα στην εφαρμογή του πρωτοκόλλου 3G RLC από το μόντεμ.

Αναλύοντας το υλικολογισμικό, ανακάλυψαν ότι ο μηχανισμός για τον χειρισμό του κατακερματισμού πακέτων δεδομένων στερείται επαρκούς ελέγχου ορίων.

Αυτή η παράβλεψη επιτρέπει σε απομακρυσμένους αντιπάλους να εκτελούν αυθαίρετο κώδικα στον επεξεργαστή μόντεμ, παρακάμπτοντας έτσι τα τυπικά μέτρα ασφάλειας κινητής τηλεφωνίας προτού δημιουργηθεί ένα ασφαλές κανάλι.

Η ανακάλυψη υπογραμμίζει την ευθραυστότητα των εξαρτημάτων του «μαύρου κουτιού» στις αλυσίδες εφοδιασμού αυτοκινήτων.

Εκμετάλλευση της υπερχείλισης buffer που βασίζεται σε στοίβα

Η τεχνική ρίζα αυτής της ευπάθειας είναι μια υπερχείλιση buffer που βασίζεται σε στοίβα στη συνάρτηση που αναλύει τις εισερχόμενες μονάδες δεδομένων υπηρεσίας.

Το πρωτόκολλο επιτρέπει έναν απεριόριστο αριθμό προαιρετικών κεφαλίδων σε ένα πακέτο, που σηματοδοτούνται από μια συγκεκριμένη τιμή bit. Ο αλγόριθμος ανάλυσης επεξεργάζεται διαδοχικά αυτές τις κεφαλίδες και εγγράφει δεδομένα σε μια μεταβλητή στοίβας.

Ωστόσο, το βάθος στοίβας περιορίζεται αυστηρά σε 0xB4 byte, ενώ το κακόβουλο μέγεθος πακέτου μπορεί να φτάσει έως και 0x5F0 byte.

Ένας εισβολέας μπορεί να ενεργοποιήσει αυτήν την υπερχείλιση στέλνοντας ένα μεμονωμένο πακέτο με λανθασμένη μορφή με αρκετές κεφαλίδες ώστε να υπερβεί το buffer στοίβας. Δεδομένου ότι η συνάρτηση δεν διαθέτει προστασία στοίβας καναρίνι, αυτή η ενέργεια αντικαθιστά τη διεύθυνση επιστροφής.

Οι ερευνητές χρησιμοποίησαν τεχνικές προγραμματισμού προσανατολισμένου στην επιστροφή για να παρακάμψουν τους μη εκτελέσιμους περιορισμούς στοίβας. Κατασκεύασαν μια αλυσίδα ROP που ανακατεύθυνε την εκτέλεση στο AT+SPSERVICETYPE χειριστή εντολών, επιτρέποντάς τους έτσι να μεταφέρουν δεδομένα στη μνήμη RAM.

// Pseudo-representation of the vulnerable parsing logic
void process_sdu_headers(packet_data *sdu) {
    uint16_t header_stack[0x5A]; // 0xB4 bytes buffer
    while (sdu->has_more_headers) {
       // Writes beyond buffer without checking bounds
       header_stack[index++] = read_next_header(); 
    }
}

Εκμεταλλευόμενοι αυτήν την καταστροφή της μνήμης, οι εισβολείς εκτέλεσαν τον δικό τους κώδικα, όπως αποδεικνύεται από την επιδιόρθωση του πίνακα της μονάδας προστασίας μνήμης για την παραχώρηση αδειών εγγραφής.

Αυτή η πρόσβαση τελικά τους επέτρεψε να παραβιάσουν τον πυρήνα του Android και να εκτελούν αυθαίρετες εφαρμογές στην κεντρική μονάδα του αυτοκινήτου.