首页
论坛
课程
招聘
[原创]一类TBOX的介绍(有拿权限思路)
3天前 1131

[原创]一类TBOX的介绍(有拿权限思路)

3天前
1131

一类TBOX的介绍(有拿权限思路)

简介

一下午收集材料,结合经验成文,希望大家能得到自己想要的,有问题欢迎随时指正!欢迎交流,我微信feng__zhi__dian。

本文可以帮助大家了解TBOX,最起码可以让大家知道收集TBOX的哪些信息,才能支撑我们进行安全分析、威胁建模等。

哪类TBOX?下图所示,像这种TBOX,怎么做分析?首先,要明确TBOX的角色,搞清楚他在车里是干嘛的。其次,理清TBOX组成,再次,找到处理数据的核心,最后,明确TBOX方案,方案包括软硬件参数、开发调试手册等等。

本文为了脱敏,所有真实图片都来源于网络上已有的图片,不影响理解。

TBOX干嘛的

参照东软和恒润的TBOX,可以知道TBOX有以下功能。

•  远程诊断服务,用于车辆监控、预防性维护和调度。

•  远程升级服务,包括用户确认升级和静默升级。

•  车载安全服务,如呼叫中心。

•  资讯娱乐服务,如导航、新闻、天气等信息推送。

•  智慧的电动车辆,增加电池的实时管理、监控和维护。

•  远程控车服务,用于车窗/ 门 / 灯控制、发动机启停、空调开闭等远程控制。

•  蓝牙钥匙服务,用于近程控车,共享车等业务拓展。

TBOX组成

下图所示:

这是块开发板,出厂后TBOX主板的接口会有部分删减活增加,主体功能结构不变,每个单元的方案可能会变。

由下图可知(TBOX就是中间的设计图),TBOX作为车辆连接互联网的出入口,是车辆数据传输的枢纽。

TBOX内部数据流向有以下四路。

CAN

CAN总线的数据交互一般由MCU控制,控制着CAN报文的转发,也就是汽车状态的控制与上传、汽车故障检测、汽车仪表显示等等,下图可以表示为TBOX中MCU侧的功能结构,MCU控制着CAN报文。CAN报文数据经OBD、CAN收发器等外部数据源,经MCU接收后进行处理(此时MCU是CAN网关),再经串口把该转发的车辆信息转发到通信模组上,这个通信模组一般是4G/5G模块。

USB

TBOX为车机提供上网的功能,类似PC插一个USB网卡来上网。TBOX一般(不确定100%)会提供USB口供车机上网,一般我们在车机开热点的情况下,不做流量转发限制的情况下可以直接加入热点ping通TBOX。

TBOX的USB接口不好找,下图标记了,以后见到这个接口,可以尝试用转接线解出来试试。

转接线,转出的是USB母头,配上USB-A的公对公转接线即可。如下:(朋友推荐的,非常好用,去阿里了-_-#)

USB的数据流向和USB上网卡的模式相同。此处不赘述。有兴趣欢迎交流。

蓝牙

和手机的蓝牙相似,但是TBOX大部分是集成了一个低功耗的蓝牙模块来实现手机和整车直接通信。安全的关键在于配对过程是否有足够强的认证、加密流程,本文不讨论。比如下面这种贵的离谱的蓝牙模块:

或者是便宜的离谱的蓝牙模块:

差价离谱的原因是啥也不清楚,也不敢问。

4G

TBOX的4G上网方案,一般由一个带有Linux基带的4G网卡承担。比如下面这种:

GPS

GPS和蓝牙的形式相同,也是一个模块,就不介绍了。

处理核心

MCU

MCU涉及到的点是JTAG/SWD等调试接口,拿到后可以做一些分析,或者通过bootloader如果能拿到数据,也可以做一些分析,可参照我之前的文章《物联网设备固件的安全性分析》。

4G模组

以SIM7600CE为例。PCB的地线很好认,直接看模组跟PCB地线的连接规律,很容易看出是哪种模组的。

上下俩图自己对一下,地线的连接规律是否和SIM7600的数据手册描述一致。

明确方案

软硬件方案经过上述的分析,从元器件的角度看肯定可以清楚了。涉及到具体元件之间的通信方式、元件跟MCU、网卡之间的通信方式,则需要结合相关数据手册和万用表,实际测试得到,最后确定是IIC、SPI、UART、RS485或者其他。说不清楚,适合视频或者当面聊,欢迎交流。

开发调试方案还没有确定。需要开发调试类的文档帮助我们做分析。以SIM7600CE为例。

获取文档的方法:

1.     去淘宝买一个相同的模块,提前问清楚店家给不给开发文档、环境搭建文档。

2.     在一些技术论坛、网站、网盘等资源汇集点找找。

作者在网络上找到了微雪的wiki找到了相关的pdf。

找到了这些信息后,可以尝试接入串口查看是否存在root shell登录用的tty。如果没有,再找ADB接口是否存在。

《SIM7600 Open Linux User Guide_V1.00》中,找到了ADB登录的方式,即便没有ADB服务或者USB ADB接口,也可以用AT指令在串口上开启ADB服务。

总结

整个流程是在逆向思维的基础上,还原TBOX的开发环境。作者确实通过TBOX的USB接口拿到的ADB root权限。在这里把这些信息分享给各位,欢迎交流。

参考文献

1.  汽车核心技术拆解(二) T-BOX进化论,https://www.sohu.com/a/373083597_455835

2.     T-Box车载智能互联终端,https://www.neusoft.com/cn/products/1976/

3.     追溯车辆事故起因,车载 T-BOX 很关键!,https://www.fujitsu.com/downloads/CN/fss/newsletter/fujitsu63-cn/article/03.html

4.     T-BOX,http://www.hirain.com/sts/14/417

5.     NXP(FreeScale)Coretx-A全功能定制主板,http://www.sin-c.com/Item/Show.asp?m=115&d=89

6.     SIM7600CE 4G HAT 用户手册,https://www.waveshare.net/w/upload/7/73/SIM7600CE-4G-HAT-Manual-CN_.pdf



安卓应用层抓包通杀脚本发布!《高研班》2021年3月班开始招生!

最后于 2天前 被fengzhidian编辑 ,原因: 修正几个描述错误
收藏
点赞2
打赏
分享
最新回复 (11)
雪    币: 6671
活跃值: 活跃值 (800)
能力值: (RANK:349 )
在线值:
发帖
回帖
粉丝
胡一米 活跃值 1 3天前
2
0
文章不错。
文中MCU章节提到”可参照我之前的文章《物联网设备固件的安全性分析》“这样一句话, 而楼主的看雪账号中并没有该文,我查了一下,该文出自绿盟的博客。我不确定本文作者是否与绿盟那篇文章的作者为同一人。
雪    币: 430
活跃值: 活跃值 (77)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
fengzhidian 活跃值 3天前
3
0
胡一米 文章不错。 文中MCU章节提到”可参照我之前的文章《物联网设备固件的安全性分析》“这样一句话, 而楼主的看雪账号中并没有该文,我查了一下,该文出自绿盟的博客。我不确定本文作者是否与绿盟那篇文章的作者 ...
雪    币: 6296
活跃值: 活跃值 (3236)
能力值: ( LV12,RANK:200 )
在线值:
发帖
回帖
粉丝
pureGavin 活跃值 2 3天前
4
0
感谢分享
雪    币: 2249
活跃值: 活跃值 (8589)
能力值: ( LV9,RANK:166 )
在线值:
发帖
回帖
粉丝
0x指纹 活跃值 3 3天前
5
0
感谢分享
雪    币: 45
活跃值: 活跃值 (27)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
王铁头 活跃值 3天前
6
0
学习了
雪    币: 290
活跃值: 活跃值 (162)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
wooyunking 活跃值 2天前
7
0
没啥干货啊老板
雪    币: 12694
活跃值: 活跃值 (1676)
能力值: ( LV13,RANK:824 )
在线值:
发帖
回帖
粉丝
大帅锅 活跃值 4 2天前
8
0

现在都学乖了,都加密码了,要拿shell 还得刷flash才行,现在大多数嵌入式的没有android那种什么dm校验,趁现在现在搞快完吧

最后于 2天前 被大帅锅编辑 ,原因:
雪    币: 288
活跃值: 活跃值 (103)
能力值: ( LV5,RANK:65 )
在线值:
发帖
回帖
粉丝
sunsama 活跃值 2天前
9
0
用了安全启动的也不太好搞,而且涉及到nandflash文件系统重打包的也是各种坑。
雪    币: 430
活跃值: 活跃值 (77)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
fengzhidian 活跃值 2天前
10
0
大帅锅 现在都学乖了,都加密码了,要拿shell 还得刷flash才行,现在大多数嵌入式的没有android那种什么dm校验,趁现在现在搞快完吧
启动参数中可以指定shell试试
雪    币: 430
活跃值: 活跃值 (77)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
fengzhidian 活跃值 2天前
11
0
sunsama 用了安全启动的也不太好搞,而且涉及到nandflash文件系统重打包的也是各种坑。
安全启动的话,看有没有加密了,有加密的得先解密,然后把启动程序换掉,没有加密可以直接换bootloader,如果是tee这种,有时候可能起不来REE里的CA,因为TA被删了,具体情况具体分析吧,一步一步来。
雪    币: 97
活跃值: 活跃值 (114)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
chinagege 活跃值 1天前
12
0
谢谢分享 
游客
登录 | 注册 方可回帖
返回