對于黑客來說，電腦可以破解、游戲機(jī)可以破解、手機(jī)可以破解，那遠(yuǎn)在天上的衛(wèi)星可以破解嗎？

答案是可以的！而且被破解的還是世界首富馬斯克旗下Space X星鏈計(jì)劃中的衛(wèi)星。

破解星鏈衛(wèi)星的小哥來自來自比利時(shí)魯汶大學(xué)，名字叫Lennert Wouters，從事研究員工作。Wouters在拉斯維加斯近日召開的Black Hat Security Conference（黑帽安全技術(shù)大會）上現(xiàn)場展示了破解Space X的全過程。

花25美元破解價(jià)值50萬美元的衛(wèi)星

據(jù)Lennert Wouters介紹，他用了一年的時(shí)間來研究如何破解衛(wèi)星，最終的破解方案僅需要25美元的成本。其破解的思路可以概括為“使用定制電路板繞過簽名驗(yàn)證檢查，用欺騙的方式讓系統(tǒng)誤以為啟動(dòng)過程正確，并不存在篡改”。這個(gè)跟以前流行的破解游戲主機(jī)的思路相似。

了解了思路之后，讓我們跟著Lennert Wouters的介紹一起了解他破解衛(wèi)星終端的過程。要想破解衛(wèi)星，首先你需要Space X的衛(wèi)星終端——用來跟衛(wèi)星連接的天線（不是貓窩）。

通過天線，Lennert Wouters能夠了解衛(wèi)星的運(yùn)作以及終端的工作原理，以便于他著手破解衛(wèi)星。

但單單是看著這個(gè)天線是不夠的，還需要拆開這個(gè)天線，研究天線的內(nèi)部結(jié)構(gòu)，才能夠找到攻擊衛(wèi)星終端，注入代碼的攻擊點(diǎn)。

于是，Lennert Wouters使用異丙醇、撬棒、熱風(fēng)機(jī)等工具對衛(wèi)星天線進(jìn)行拆解，不過據(jù)他本人介紹，整個(gè)拆解的過程相當(dāng)麻煩，拆解者需要擁有極強(qiáng)的耐心。

經(jīng)過一番操作之后，卸下天線的金屬外殼，就可以拿到像下面這樣，直徑為59cm的電路板。

電路板上集成的電路系統(tǒng)有：一枚定制化的四核ARM Cortex-A53處理器、射頻電路、以太供電系統(tǒng)以及GPS接收器。

拆解完之后，Lennert Wouters發(fā)現(xiàn)這顆定制化的處理器架構(gòu)未曾公開過，所以破解難度較大。

但攻破技術(shù)難關(guān)，這就是黑客的樂趣所在。為了破解衛(wèi)星天線的電路主板，黑客小哥需要自制modchip（破解芯片）。于是他掃描了整塊天線的電路主板，找到最適合破解芯片的電路設(shè)計(jì)方案。

完成電路掃描之后，Lennert Wouters根據(jù)自己制作的電路設(shè)計(jì)方案使用Rasperrt Pi（樹莓派）微控制器、閃存、電子開關(guān)和穩(wěn)壓器做了一塊針對衛(wèi)星天線的破解芯片，然后將破解芯片通過線纜焊接到天線鍋的PCB板上。

到這一步，用于攻擊衛(wèi)星天線的硬件工具已經(jīng)制作完畢。接下來要做的就是尋找攻擊點(diǎn)，使用破解芯片注入攻擊到衛(wèi)星終端（天線鍋）的系統(tǒng)中，修改衛(wèi)星終端上的固件，最終奪取對天線終端的控制權(quán)。

在Lennert Wouters長時(shí)間的摸索中，他發(fā)現(xiàn)在衛(wèi)星終端啟動(dòng)時(shí)，會經(jīng)歷多個(gè)不同的引導(dǎo)程序加載階段。其中第一個(gè)引導(dǎo)加載程序因?yàn)槭潜豢啼浀狡舷到y(tǒng)的，無法更新，所以在攻擊成功后注入的修改固件不會被重置，從而實(shí)現(xiàn)最終奪取對衛(wèi)星終端的控制權(quán)。

確定了攻擊目標(biāo)之后，Lennert Wouters在“簽名驗(yàn)證”及“哈希驗(yàn)證”這兩個(gè)理想攻擊切入點(diǎn)中選擇了更適合的“簽名驗(yàn)證”。Lennert Wouters表示，工程師在設(shè)計(jì)電路的時(shí)候會努力避免短路，但黑客的攻擊方法經(jīng)常會刻意利用短路或者制造電路問題擾亂電路板的原有設(shè)定，實(shí)現(xiàn)“渾水摸魚”。

因此Lennert Wouters在注入故障的時(shí)候，需要先讓負(fù)責(zé)平滑電源的去耦電容停止工作，實(shí)現(xiàn)電路板的安全保護(hù)機(jī)制短路，之后注入故障修改硬件程序并繞過安全保護(hù)，完成上面的操作之后，重啟去耦電容，即可實(shí)現(xiàn)篡改并運(yùn)行星鏈固件，取得底層系統(tǒng)訪問權(quán)限。

上面思路理清楚之后，就可以開始進(jìn)入破解的實(shí)操環(huán)節(jié)了。在實(shí)操過程中，Lennert Wouters本來打算在衛(wèi)星終端的啟動(dòng)周期結(jié)束（Linux操作系統(tǒng)全部加載完成）再發(fā)起攻擊，但在后續(xù)的實(shí)驗(yàn)中，他發(fā)現(xiàn)搶在啟動(dòng)前發(fā)起進(jìn)攻才是更為可靠的方法。最終，Lennert Wouters實(shí)現(xiàn)了在衛(wèi)星終端的啟動(dòng)周期之內(nèi)篡改并運(yùn)行星鏈固件，獲得設(shè)備的底層系統(tǒng)訪問權(quán)限 。

至此，Lennert Wouters完成了自己對衛(wèi)星終端的破解，并實(shí)現(xiàn)了通過衛(wèi)星終端給天邊的衛(wèi)星注入代碼，實(shí)現(xiàn)修改衛(wèi)星固件。

目前，Lennert Wouters的定制版modchip已經(jīng)公布在GitHub上，但并沒有出售modchip成品的打算，也從未向他人提供過篡改后的用戶終端固件，或者利用此漏洞的確切細(xì)節(jié)獲利。

Space X高度認(rèn)可，提出漏洞賞金計(jì)劃

作為一名安全研究員，在去年，Lennert Wouters就已經(jīng)向SpaceX報(bào)告了這些漏洞，星鏈也通過漏洞懸賞計(jì)劃向Wouters支付了相應(yīng)的賞金。Lennert Wouters表示，雖然SpaceX已發(fā)布的更新使攻擊更加困難，但避免此類攻擊的唯一可靠方法是創(chuàng)建一個(gè)新版本的主芯片，否則無法從根源上解決問題。

SpaceX方面則是對Lennert Wouters的破解表示了極高的認(rèn)可，在Lennert Wouters進(jìn)行破解的時(shí)候，SpaceX官方還曾表示可以提供“研究員級別”的身份輔助Lennert Wouters進(jìn)行破解研究。

同時(shí)，星鏈項(xiàng)目方重申，此攻擊需要對用戶終端進(jìn)行物理訪問，并強(qiáng)調(diào)對安全啟動(dòng)系統(tǒng)注入故障只會影響到當(dāng)前設(shè)備。整個(gè)星鏈系統(tǒng)的其余部分不會因此受到影響。換言之，普通星鏈用戶無需擔(dān)心受此攻擊影響，也無需采取任何應(yīng)對措施。

公司還表示歡迎各個(gè)研究人員發(fā)現(xiàn)并報(bào)告漏洞，對“星鏈”網(wǎng)絡(luò)進(jìn)行非破壞性測試、報(bào)告并發(fā)現(xiàn)漏洞的研究人員可獲得100美元25000美元的獎(jiǎng)勵(lì)，并列出了已報(bào)告“重大安全問題”的32名研究人員。

衛(wèi)星正在成為惡意黑客心中的不法之地

星鏈衛(wèi)星被破解，讓天邊的衛(wèi)星走進(jìn)了大部分人的視野當(dāng)中，但透過這一次破解，我們需要提高警惕。

星鏈計(jì)劃是馬斯克旗下Space X公司于2015年公布的衛(wèi)星通訊計(jì)劃，目前計(jì)劃發(fā)射4.2w顆衛(wèi)星，實(shí)現(xiàn)用戶在全球各地都可以享受上網(wǎng)。但有消息指出，在俄烏戰(zhàn)爭中，星鏈計(jì)劃給烏方提供了通訊支持，實(shí)現(xiàn)烏方無人機(jī)定點(diǎn)打擊的功能。

星鏈計(jì)劃真實(shí)目的不得而知，但目前惡意黑客已經(jīng)將衛(wèi)星互聯(lián)網(wǎng)視為攻擊目標(biāo)。最早于02年的時(shí)候，我國便出現(xiàn)過衛(wèi)星被不法組織黑入，導(dǎo)致電視畫面異常的情況。此外，在北斗衛(wèi)星還沒部署之前，中國曾在一次軍事演習(xí)中被美國關(guān)閉了GPS使用權(quán)，導(dǎo)致導(dǎo)彈發(fā)射偏離軌跡。

當(dāng)下太空資源已經(jīng)成為了大國之間的必爭之地。在如今，亞馬遜、OneWeb、波音、Telesat和SpaceX等民營組織加入其中將進(jìn)一步加劇資源的爭奪。但最重要的是各方在此次破解當(dāng)中應(yīng)當(dāng)提高安全警惕，防止為了無畏的擴(kuò)張，導(dǎo)致“太空垃圾”泛濫，讓衛(wèi)星成為黑客違法的助力。

雷峰網(wǎng)(公眾號：雷峰網(wǎng))

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。