羿閣 發(fā)自 凹非寺量子位 | 公眾號 QbitAI

被馬斯克大吹特吹的“星鏈（Starlink）”，黑客竟然只需170塊人民幣就能輕松攻破？

沒錯，一位比利時小哥在今年的黑帽大會（Black Hat Conference）上公開演講展示了自己是如何做到的。

他自制了一個可以連接到星鏈終端的定制黑客工具，而這款工具的基礎(chǔ)，是一種名為“modchip”的電路板，售價不到170元。

連接到星鏈終端后，該自制工具就能發(fā)起故障注入攻擊，導(dǎo)致系統(tǒng)暫時短路以繞開星鏈安全保護機制，繼而成功侵入星鏈系統(tǒng)中原本鎖定的部分。

目前，這位小哥已將該工具在GitHub上開源發(fā)布，并分享了關(guān)于攻擊方式的一些細節(jié)。

具體怎么個情況，我們一起來看看。

星鏈，是馬斯克旗下SpaceX公司推出的一項衛(wèi)星互聯(lián)網(wǎng)服務(wù)。

它的互聯(lián)網(wǎng)系統(tǒng)由三個主要部分組成：

負責實現(xiàn)信號覆蓋的衛(wèi)星、將互聯(lián)網(wǎng)連接發(fā)送到衛(wèi)星的網(wǎng)關(guān)(Gateway)，以及用戶購買安裝的Dishy McFlatface衛(wèi)星天線。

來自比利時魯汶大學的安全研究員Lennert Wouters的研究，主要集中在這些用戶終端（天線）上。

他解釋道：

站在攻擊者的角度，首先想到的自然是攻擊衛(wèi)星本體，也就是構(gòu)建自有系統(tǒng)與衛(wèi)星通信。但這顯然非常困難。所以要想成功攻擊，最好能借助于用戶終端，這樣很多難題就迎刃而解了。

為此，Wouters改造了他購買的一個星鏈天線，用“熱風槍、撬棒、異丙醇再加上極大的耐心”取下天線上的金屬蓋，逐一分析星鏈終端的內(nèi)部組件。

在直徑達59厘米的金屬蓋下，隱藏著一個大型PCB。

其中的片上系統(tǒng)包括一枚定制化四核ARM Cortex-A53處理器，由于架構(gòu)未經(jīng)公開所以破解難度極大。板上的其他元件還包括射頻設(shè)備、以太網(wǎng)供電系統(tǒng)和GPS接收器。

親手拆解之后，Wouters逐漸弄清了星鏈終端是如何啟動、又是怎樣下載固件的。

為了進一步設(shè)計定制的modchip，Wouters掃描了星鏈天線并找到了最適合當前星鏈電路板的設(shè)計方案。

他設(shè)計的modchip需要通過幾根線纜被焊接到星鏈PCB上，modchip本體則由樹莓派微控制器、閃存、電子開關(guān)和穩(wěn)壓器組成。

有趣的是，在設(shè)計這塊終端電路板時，星鏈工程師們在其上印制上了“人類制造于地球”（Made on Earth by humans）的字樣。

Wouters則在自己的modchip上幽默了一把，印上了“人類在地球上制造的故障”（Glitched on Earth by humans）。

為了接入終端軟件，Wouters的定制系統(tǒng)會通過電壓故障注入攻擊繞過安全保護機制。

在星鏈天線開啟時，會經(jīng)歷多個不同的引導(dǎo)程序加載階段。Wouters的攻擊指向第一個引導(dǎo)加載程序（即ROM引導(dǎo)加載程序），此程序是被刻錄到片上系統(tǒng)的，因此無法更新。

攻擊成功后，他會在接下來的其他引導(dǎo)加載程序上修改固件，從而奪取對終端天線的控制權(quán)。

Wouters解釋道：“總體來看，最理想的攻擊切入點就只有兩個：簽名驗證，或者哈希驗證。”

他的方法指向的正是簽名驗證過程。“工程師在設(shè)計的時候會努力避免短路，但我們的攻擊方法卻是在刻意利用短路。”

最初，Wouters本打算在啟動周期結(jié)束時（即Linux操作系統(tǒng)全部加載完成）再向芯片注入故障，但最終發(fā)現(xiàn)搶在啟動開始時注入才是正確思路。Wouters表示，這種方式的可靠性更高。

為了注入故障，他必須讓負責平滑電源的去耦電容停止工作。所以，Wouters攻擊方案的實質(zhì)就是先禁用去耦電容，再運行故障以繞過安全保護，最后重新啟用去耦電容。

經(jīng)此過程，Wouters就能在啟動周期之內(nèi)篡改并運行星鏈固件，最終獲得底層系統(tǒng)訪問權(quán)限。

除此之外，Wouters指出，在他研究期間，星鏈方面也做出過回應(yīng)，表示愿意向他提供研究員級別的設(shè)備軟件訪問權(quán)限，但被他拒絕了。

雖然他設(shè)計的定制版modchip已經(jīng)公布在GitHub上，但Wouters并沒有出售modchip成品的打算，也從未向他人提供過篡改后的用戶終端固件，或者利用此漏洞的確切細節(jié)獲利。

在Wouters的Black Hat會上演講結(jié)束后，星鏈方面發(fā)布了一份六頁的PDF，解釋了其系統(tǒng)保護思路，文章提到：

我們意識到這是一種令人印象深刻的高水平攻擊思路，也是我們在系統(tǒng)中發(fā)現(xiàn)的首例此類攻擊。這讓我們認識到，能夠物理侵入星鏈終端的攻擊者可以借此奪取訪問權(quán)限、實施惡意活動。因此，我們將依靠「最低權(quán)限」設(shè)計原則限制這類攻擊產(chǎn)生廣泛影響。

星鏈項目方重申，此攻擊需要對用戶終端進行物理訪問，并強調(diào)對安全啟動系統(tǒng)注入故障只會影響到當前設(shè)備。

整個星鏈系統(tǒng)的其余部分不會因此受到影響。

換言之，普通星鏈用戶無需擔心受此攻擊影響，也無需采取任何應(yīng)對措施。

除了設(shè)計出攻擊星鏈的黑客工具，這個比利時小哥之前還曾攻破過特斯拉高端車型Model X的安全漏洞。

創(chuàng)下了“用自制硬件在90秒內(nèi)解鎖特斯拉汽車”的記錄，并迫使特斯拉推出了一系列修復(fù)方案。

在演示視頻里，研究人員只用2000元左右，就可以用電腦DIY一個“車鑰匙”，90秒打開車門，不到幾分鐘，就能把車開走。

特斯拉引以為傲的無鑰匙進入，變成了真正字面意義上的“無鑰匙進入”。

特斯拉、星鏈……不知道這位小哥的下一個目標是哪家公司？（手動狗頭）

參考鏈接：[1]https://github.com/KULeuven-COSIC/Starlink-FI[2]https://www.blackhat.com/us-22/briefings/schedule/#glitched-on-earth-by-humans-a-black-box-security-evaluation-of-the-spacex-starlink-user-terminal-26982[3]https://www.wired.com/story/starlink-internet-dish-hack/[4]https://mashable.com/article/starlink-satellite-hacked-cheap