自2018年以來,埃隆馬斯克的星鏈計劃(Starlink)已將3000多顆小型衛星送入軌道。星鏈衛星網絡能夠將互聯網連接覆蓋到地球上最偏僻的腳落,并且在俄烏沖突期間成為烏方的重要聯網方式。未來星鏈計劃還將再發射數千顆衛星,其他組織和國家的競爭計劃也在紛紛加入,高密度小型衛星網絡正在改變地球的互聯方式。但是,就像任何新興技術一樣,“星鏈”們正在被黑客入侵。
本周四,在拉斯維加斯舉行的Black Hat安全會議上,比利時魯汶大學(KU Leuven)的安全研究員Lennert Wouters將首次披露Starlink用戶終端(即位于住宅和建筑物上的星鏈衛星天線)的安全漏洞。Wouters將詳細介紹攻擊者如何利用一系列硬件漏洞訪問Starlink系統并在設備上運行自定義代碼。
為了訪問星鏈衛星天線的軟件,Wouters改造了他購買的一個星鏈天線,并制作了一個可以連接到星鏈天線的定制黑客工具。該工具使用一種被稱為modchip的定制電路板,零件成本僅約25美元。連接到星鏈天線后,該自制工具就能夠發起故障注入攻擊,暫時使系統短路以繞過星鏈的安全保護。這個“故障”使Wouters能夠進入被鎖定的星鏈系統。
Wouters將該工具在GitHub上開源發布,內容包括發起攻擊所需的一些細節。“作為攻擊者,假設你想攻擊衛星本身,”Wouters解釋說,“你可以嘗試制作自己的系統來與衛星通訊,但這非常困難。所以更簡單的辦法是通過用戶終端。”
去年,Wouter曾向Starlink通報了這些漏洞,后者也通過其漏洞賞金計劃向Wouters支付了漏洞賞金。Wouters表示,雖然SpaceX已發布更新以使攻擊更加困難(更改了modchip),但除非該公司開發新版本的主芯片,否則無法解決根本問題。
Wouters指出,所有現有星鏈用戶終端仍然容易受到攻擊。
根據Wired報道,Starlink計劃在Wouters的黑帽大會演講之后發布“公開更新”,但拒絕透露有關該更新的任何細節。
Starlink的互聯網系統由三個主要部分組成。首先是衛星。衛星在低地球軌道上移動,距地表約340英里,并向下連接到地表。衛星與地球上的兩個系統進行通信:將互聯網連接發送到衛星的網關,以及人們可以購買的Dishy McFlatface衛星天線。Wouters的研究主要集中在這些用戶終端(天線)上,這些天線最初是圓形的,但較新的型號是矩形的。
Wouters透露,他對星鏈用戶終端的攻擊涉及多個階段和技術措施,最終他完成了現在開源的可用的星鏈天線黑客工具。這種定制電路板的攻擊能夠繞過系統啟動時的簽名驗證安全檢查,后者的功能是證明系統是否正確啟動并且沒有被篡改。“我們使用這種電路板來精確計算注入故障的時機。”Wouters說。
從2021年5月開始,Wouters就開始測試星鏈系統,他購買了一個星鏈天線,在大學大樓屋頂上測試其功能正常(268 Mbps的下載速度和49 Mbps的上傳速度)。然后,他使用多種工具開始拆解天線,動用了“熱風槍、撬動工具、異丙醇和極大的耐心”。最終,他成功從天線上取下大金屬蓋并接觸其內部組件。
圖片:LENNERT WOUTERS
在星鏈天線直徑59厘米的蓋子下面是一個大型PCB板,其中包含一個片上系統(上圖),包括一個定制的四核ARM Cortex-A53處理器,其架構沒有公開記錄,因此更難破解。板上的其他組件包括射頻設備、以太網供電系統和GPS接收器。通過拆解天線,Wouters能夠了解它是如何啟動和下載固件的。
設計modchip前,Wouters掃描了星鏈天線并完成了匹配現有星鏈PCB板的設計。modchip需要焊接到現有的星鏈PCB板并用幾根導線將其連接起來。modchip本身由Raspberry Pi微控制器、閃存、電子開關和穩壓器組成。在制作用戶終端板時,星鏈工程師在其上印制了“人類在地球上制造”的字樣。Wouters的modchip上則寫著:“人類在地球上出現的故障。”
為了訪問星鏈的軟件,Wouters使用他的自定義系統通過電壓故障注入攻擊繞過安全保護。當星鏈天線打開時,它會啟動一系列不同的引導加載程序。Wouters的攻擊針對第一個引導加載程序(稱為ROM引導加載程序)的運行故障,該引導加載程序被刻錄到片上系統并且無法更新。然后,攻擊會在以后的引導加載程序上部署定制固件,使Wouters能夠控制整個系統。
“從更高層面來看,有兩個明顯可以攻擊的對象:簽名驗證或哈希驗證。”Wouters說。該故障攻擊了簽名驗證過程。“通常我們總是會避免短路,”他說:“但在這種情況下,我們是故意這樣做的。”
最初,Wouters試圖在其引導周期結束時(即linux操作系統已完全加載)使芯片出現故障,但最終發現在引導開始時更容易導致故障。Wouters認為這種方式更可靠。他說,為了讓故障起作用,他必須停止用于平滑電源的去耦電容器的運行。攻擊會禁用去耦電容器,運行故障以繞過安全保護,然后啟用去耦電容器。
這個過程使研究人員能夠在啟動周期內運行星鏈固件的修改版本,從而能夠訪問其底層系統。Wouters說,作為對這項研究的回應,Starlink向他提供了對設備軟件的研究人員級別的訪問權限,但Wouters拒絕了,原因是不想在這方面鉆研太深,主要精力放在制作modchip工具。(在測試期間,他將修改后的天線掛在研究實驗室的窗戶外面,并用一個塑料袋作為臨時防水系統。)
Wouters指出,雖然星鏈還發布了固件更新使得攻擊變得困難,但并非不可能。任何想以這種方式破解天線的人都必須投入大量時間和精力。雖然這次攻擊不像破壞衛星系統或衛星通信那樣具有破壞性,但Wouters表示,此類攻擊可以用來更多地了解星鏈網絡的運作方式。
“我現在的重點工作是與后端服務器通信。”Wouters透露。盡管在Github上可以下載modchip的詳細信息,但Wouters沒有出售任何成品modchip的計劃,他也沒有向人們提供修改后的用戶終端固件或在攻擊時使用的故障的確切細節。
隨著越來越多的衛星發射——亞馬遜、OneWeb、波音、Telesat和SpaceX都在打造自己的“星鏈”——它們的安全性將受到更嚴格的審查。除了為家庭提供互聯網連接外,這些系統還可以幫助船舶聯網,并在關鍵基礎設施中發揮作用。衛星互聯網系統已經成為惡意黑客的目標。
“我認為評估這些系統的安全性很重要,因為它們是關鍵基礎設施,”Wouters說道:“我認為總會有人嘗試進行這種類型的攻擊,因為用戶端的天線很容易獲得。”
參考鏈接:
https://www.wired.com/story/starlink-inte.NET-dish-hack/
