三菱Outlander是怎么被英国安全公司一步步破解的？

昨天车云菌发了一条消息，英国一家名叫Pen Test Partners（以下简称PTP）的安全公司，发现了三菱Outlander的一个漏洞，并成功破解。在那条消息中，只是简单提到了问题来自于车内Wi-Fi，三菱通过让手机端App连接车内Wi-Fi的方式来进行远程控制车辆的一些操作。今天来看看PTP是怎么一步步去破解的。

PTP Ken Munro与他的三菱Outlander
破解篇
如果要对这次破解先做一个预先总结的话，那依然离不开「凡通讯节点均有可能发现漏洞」这个公理。
三菱Outlander引起PTP注意在于两点，一个是这辆车在英国比较受欢迎，另外一个则是相对「奇葩」地通讯方式。并没有如同大部分车企那样选择利用云端服务的方式来进行远程控制，三菱是让车主通过将手机与车载Wi-Fi热点相连接之后，并进行配对，才能够发送远程控制的命令。之前在各家云端服务暴露故障的时候，或许三菱这种另辟蹊径的方式还可以轻松一下。
不过，对于用户来说，这种控制方式并不太方便，因为只有在车辆的Wi-Fi覆盖范围内才能去控制车辆。Wi-Fi的覆盖范围并不大，而且随着距离的增加，信号的强度也会受到影响。所以，这个远程控制的效果几乎是不太有用的。对于家里有车库的人来说，或许还可以远程开启下空调，或者用来在停车场找找车什么的。当然，好处是开发成本低，不需要服务器的开发与维护费用。
但这种方式是否存在漏洞呢？PTP正是出于这样的考虑，就开始了研究。
首先要考虑的是，从哪儿切入。毕竟，在一般情况下，车辆要么停在家里，要么在停车场，要么在路上。而要与车辆相连，首先得找到车在哪儿、知道车辆的SSID（无线网络名称）以及密码（PSK）。
在三菱Outlander的车主手册上，就写有车辆的PSK，不过PTP提到这个密码不长，只有10位（四位小写字母和六位数字）。对于白帽黑客们来说，要破解起来不要太简单。PPT使用了一个带有4块GPU的破解装置，花了不到4天的时间就破解了。如果使用基于云端服务的方式，或者用带更多GPU的电脑，运算起来就可以更快。

Wi-Fi的SSID
要找到车辆在哪也很容易。对于每一辆Outlander，都有一个唯一的SSID，初始名称的组成形式是REMOTEnnaaaa，n代表数字，a代表小写字母。在英国，有一家名为wigle.net的网站，可以通过搜索SSID很快定位Outlaner的具体位置。下面这张图上能够看到类似命名的所有Outlander的位置，如果再根据具体位置信息去搜寻的话，小偷或者黑客很容易找到他们感兴趣的车的位置。
知道SSID和PSK之后，再经过网络扫描，PTP发现了一个IP——192.168.8.46:8080。这个IP地址是固定的，并且在他们看到的所有车辆上都是一致的。真正地破解是从连上这个服务之后开始的。

如何破解三菱Outlander（来源：PTP）
首先，PTP通过正常的方式，从手机App向车辆发送信息，并采集了这些信息去分析，很容易就得知了两者之间的通讯所使用的协议。拿到这个协议之后，就可以扔掉手机App，利用电脑去控制车辆了。
基本上来说，只要是手机App有的功能都可以去做，比如说打开或关闭车辆大灯。对于插电式车辆来说，通过手机App监控车辆充电状态是非常常见的功能，Outlander也可以。破解之后可以做的事情是，偷偷关掉车辆充电过程，或者强制车辆在电费高的时段进行充电。与之前破解的日产聆风一样，还可以开启空调进行制冷来耗干电池中的电量，PTP表示区别只是破解起来更加简单而已。
而最为重要的是，PTP可以通过这种方式关掉车辆的防盗报警装置。

关闭防盗报警
从上面的视频中可以看出，没有解除的情况下，如果车辆窗户开启，手伸进车内是有警告响起的。但是在关闭之后，手伸进车里之后没有报警声了，从里面打开车门也依然不会报警。
一旦门被打开了，就有受到更多攻击的可能。在打开车门之后，PTP还稍微研究了下OBD。到现在，PTP并没有仔细研究OBD端口的漏洞和被攻击可能。不过此前宝马的OBD漏洞曾被公布过，因而PTP在此建议应该增加身份验证的过程。
不过，PTP也表示，目前仅仅是查看了手机App与车载Wi-Fi热点之间的通讯过程，还没有研究在车载Wi-Fi热点与车辆的CAN总线之间是否存在漏洞。从车载娱乐系统到CAN总线之间是有一个接口的，这个接口也是容易出现防护措施不严、易被破解的所在。如果能够通过这个接口，那么能够控制的范围就更大的。不过团队表示还需要花费更多的时间来进行这方面研究。
应对篇
其实从视频或者PTP在其博客发布的消息都很容易发现一点，PTP虽然公布了破解的流程，但是并没有公布具体的通讯协议内容。原因十分简单：通过Wi-Fi热点的方式进行连接，虽然简单易开发，但是在车企端，并没有「关闭服务器」这个直接消除影响、进行修复操作的办法。因而，PTP表示，暂时不会公开，会给车主们留出一点时间，关闭这个服务之后，再去公开。
当然，同时公布的还有如何关闭这个服务的办法。最为简单的，也是短期的办法，就是将所有与车载Wi-Fi进行配对的手机都取消配对。
要取消配对，首先要与车辆的Wi-Fi连接上之后，打开手机端App，在设置的页面中找到取消VIN注册（Cancel VIN Registration ）。一旦所有配对的设备都被取消配对之后，Wi-Fi功能就会处于关闭状态。而且，除非将车辆的远程控制钥匙重复按下10次，这项功能就不会被再次开启。这也就意味着，如果拿不到钥匙，就无法通过这种方式来破解车辆了。而如果你有钥匙，你还要这么费劲干嘛？不得不说，这是一个不错的安防措施。虽然这导致手机App的功能不能使用了，但是至少保证了安全问题。
对于三菱来说，取消配对只是应急措施。中期的解决办法，是进行固件升级，修复这个漏洞。好在固件升级可以通过手机App进行推送并更新，修复完成之后，就可以再去使用这个服务了。现在三菱官方也表示，正在开发新固件，并建议大家关闭服务。
而在PTP看来，长期的解决方案，也是最彻底的，就是放弃这种显得比较奇怪的通过Wi-Fi来控制车辆的方式，转为利用大多数车企都在使用的云服务方式。虽然说同样可能存在漏洞，但是至少出现问题的时候，咱可以关闭服务器啊，这个是可以掌握主动权的。然后再去考虑怎么修复，怎么更新。因而，PTP十分诚恳地建议，三菱召回。此前，克莱斯勒因为联网安全漏洞成为业内第一次因为这类问题而召回的第一起，不知道三菱是否会成为第二个吃螃蟹的人。
车云小结
对于PTP来说，比较尴尬的还是将这个问题公布出来。因为主动权在车主手里，三菱无法采取控制措施，因而将这个问题直接公布很容易站上道德的PK台。但是，PTP表示，在发现这个问题之后，他们立即联系了三菱告知这个漏洞，奈何三菱对此并不感冒。
这是行业面临的共同难题，在如此多漏洞被公开、已经发生召回事件之后，车企依然对这些事情表现并不积极。然后PTP联系了BBC，并且录制了文章中的视频发布之后，才得到了三菱的积极回复。开发新固件也是这之后的故事了。
大概一周时间之后，待车主们关闭了Wi-Fi服务，PTP将会公布具体的破解方式，或许到那个时候，在Wi-Fi模块与CAN总线之间的通讯过程，也会有新的发现。车云菌也会关注PTP的后续进展，敬请期待。