h t i g b u m o c . 5 Contents 1 Introduction2 2 Architecture overview 5 2.1 Hardware���������������������������������������������������������������������������������������������������������������������������������� 5 2.1.1 Head Unit��������������������������������������������������������������������������������������������������������������������������� 5 2.1.2 T-Box�������������������������������������������������������������������������������������������������������������������������������10 2.1.3 Electronic Ignition Switch�������������������������������������������������������������������������������������������������11 m o c . 5 2.1.4 Instrument Cluster����������������������������������������������������������������������������������������������������������� 12 2.2 Software�������������������������������������������������������������������������������������������������������������������������������� 12 2.2.1 Head Unit������������������������������������������������������������������������������������������������������������������������� 12 2.2.2 T-Box������������������������������������������������������������������������������������������������������������������������������ 12 b u 2.3 CAN Network Overview����������������������������������������������������������������������������������������������������������� 13 3 Research Environment Setup h t i g 14 3.1 Connecting ECUs���������������������������������������������������������������������������������������������������������������������14 3.2 Wake Up Test Bench��������������������������������������������������������������������������������������������������������������� 15 3.3 Anti-Theft������������������������������������������������������������������������������������������������������������������������������� 16 4 Attack Surfaces Analysis 17 4.1 Head Unit��������������������������������������������������������������������������������������������������������������������������������� 17 4.1.1 Attack Through Browser��������������������������������������������������������������������������������������������������� 17 4.1.2 Wi-Fi������������������������������������������������������������������������������������������������������������������������������� 17 4.1.3 Kernel������������������������������������������������������������������������������������������������������������������������������ 18 4.1.4 Ports on MMB������������������������������������������������������������������������������������������������������������������� 18 Contents 4.1.5 Bluetooth������������������������������������������������������������������������������������������������������������������������� 19 4.1.6 USB��������������������������������������������������������������������������������������������������������������������������������� 19 4.1.7 App���������������������������������������������������������������������������������������������������������������������������������� 19 4.2 T-Box�������������������������������������������������������������������������������������������������������������������������������������� 19 4.2.1 Attack Through Wi-Fi Chip���������������������������������������������������������������������������������������������� 19 4.2.2 Attack Through GNSS���������������������������������������������������������������������������������������������������� 20 4.2.3 CAN������������������������������������������������������������������������������������������������������������������������������� 20 m o c . 5 4.2.4 Baseband���������������������������������������������������������������������������������������������������������������������� 20 4.2.5 GSM hijack���������������������������������������������������������������������������������������������������������������������� 21 5 Compromise Head Unit b u 24 5.1 Access to the Intranet of Head Unit���������������������������������������������������������������������������������������� 24 h t i g 5.1.1 Connect to Head Unit as T-Box���������������������������������������������������������������������������������������� 24 5.1.2 Connect to MMB as CSB�������������������������������������������������������������������������������������������������� 25 5.2 Remote Code Execution on Head Unit������������������������������������������������������������������������������������ 26 5.2.1 Implementation of HiQnet Protocol����������������������������������������������������