至少,汽车会检查消息的目的地址,即消息应该被发送到哪辆汽车。这个检查是通过查看消息中的VIN(车辆标识码)来完成的。如果VIN不能与提出质疑的汽车相匹配,它就不会执行发送的命令。这对攻击者来说并不是什么障碍,因为COMBOX在这方面给予攻击者极大的帮助:如果Combox不能接收到有效的VIN码,它实际上会发送一条错误消息,而这条错误消息会包含VIN来标识错误消息的发送者。
一些BMW车型中,COMBOX已经被替换成其他类型的控制单元。TCB(Telematic Communication Box)支持通用移动通信系统(UMTS),而且不会不泄露VIN,但仍使用已知的加密密钥。
在接下来的研究,我也研究了几款最新的BMW车型。其中在一些车型中,COMBOX已经被替换为其他的控制装置。多媒体与免提功能已经整合到所谓的Headunit。而蜂窝通信已经迁移到到TCB (Telematic Communication Box),它现在除了支持GPRS/EDGE连接,还支持通用移动通信系统(UTM)。TCB会忽略未包含正确VIN的消息。因为它要么不回复,正确VIN码并不像在COMBOX中一样那么容易查明。不过,通信仍然使用了适用所有车辆的已知密钥。
实践
在现实中,通过模拟网络远程解锁车门将会是什么样子?这要求所需设备能够放在一个公文包或一个背包中。模拟网络的覆盖范围即使在市中心也可以超过100米。所谓国际移动用户识别码捕捉器(IMSI catcher)比实际的移动网络拥有更强的信号,所以会导致手机优选选择伪造的移动蜂窝网络。IMSI catcher不需要事先知道目标汽车的电话号码。IMSI catcher使用TMSI替代。当一个移动设备接入IMSI伪造的网络时,IMSI会给这个设备分配一个TMSI。如果目标车辆使用TCB模块,攻击者阻塞这个区域存在的UMTS信号,迫使控制单元退回到GSM模式。
因为不仅配有ConnectedDrive的汽车会接入到伪造的移动蜂窝网络,通过查看IMEI码来过滤接入的设备是个不错的方法,IMEI码是分配给所有移动设备与蜂窝调制解调器的唯一序列码。IMEI码的前8位数字指示设备的类型(手机型号代码,TAC)。攻击者可以利用这个方法区分Combox与TCB。
