特斯拉运营着一个漏洞悬赏项目,邀请研究人员寻找其车辆中的安全漏洞。为了参与,我需要实际的硬件,于是开始在 eBay 上寻找特斯拉 Model 3 的零件。我的目标是让一整台车载电脑连上触摸屏,在我自己的桌上跑起来,直接启动车辆操作系统。
车载电脑由两部分组成——MCU (多媒体控制单元) 和自动辅助驾驶电脑 (AP),它们上下叠装在一起。在车内,电脑位于乘客座椅前方,大致在手套箱后面。这个部件本身大小像一个 iPad,厚度像一本约 500 页的书,包裹在一个水冷的金属外壳里:
通过在 eBay 上搜索“特斯拉 Model 3 MCU”,我找到了很多价格在 200 到 300 美元之间的结果。查看商品列表后,我发现许多卖家是“拆车”公司,他们购买报废车辆,将其拆解,然后将所有零件单独出售。有时,他们甚至会附上原报废车辆的照片,并提供一种方法,可以筛选出从同一辆车中拆出的零件列表。
为了启动车辆并与之交互,我还需要一些东西:
- 一个能提供 12V 电压的直流电源
- 来自报废 Model 3 的触摸屏模块
- 将它们连接在一起的显示线缆
对于电源,我选择了亚马逊上一款 0-30V 可调的型号。当时有 5 安培和 10 安培的版本可选,我觉得为安全起见留些余量,就选择了 10 安培版本——后来证明这是一个非常明智的决定,因为整套设备在峰值时可能消耗高达 8 安培的电流。Model 3 的屏幕在 eBay 上出奇地贵,我猜是因为它是一个热门的更换部件。我找到了一个不错的交易,175 美元。
最难订购的最后一个部件是连接 MCU 和屏幕的线缆。我需要它,是因为出售的电脑和屏幕,它们的连接线都在插头后几厘米处被剪断了(有趣的是,大多数卖家都这么做,而不是直接拔下插头)。
就在此时,我发现特斯拉公开了其所有车辆的“电气参考”布线图。在他们的服务网站上,你可以查找特定的车型,搜索某个部件(比如显示屏),它会精确地显示部件应该如何布线、使用什么线缆/连接器,甚至单个连接器内不同引脚负责的功能:
原来显示屏使用了一根 6 针线缆(2 针用于 12V 和地线,4 针用于数据),配有一个特殊的 Rosenberger 99K10D-1D5A5-D 连接器。我很快发现,除非你是批量订购的汽车制造商,否则根本买不到一根这样的 Rosenberger 线缆。eBay 上没有,AliExpress 上也没有,基本上完全没有搜索结果。
经过一番搜寻,我发现这种线缆与一种更广泛使用的汽车线缆“LVDS”非常相似,后者用于宝马汽车中传输视频。乍一看,连接器和我需要的 Rosenberger 连接器完全吻合,于是我就下单了:
电脑最先到货。为了尝试给它通电,我使用特斯拉的电路图和网上人们进行类似桌上 MCU 设置的几张照片,查找出需要将 12V 和地线连接到哪个连接器的哪个引脚。由于电脑附带了被剪短一截的线缆,我可以剥开相关电线,将电源夹子夹在正确的线上:
我看到几个红色 LED 开始闪烁,电脑启动了!由于还没有屏幕,没有太多与车辆交互的方式。阅读 @lewurm 之前在 GitHub 上的研究,我知道至少在旧版本的车辆中,车内网络中一些组件有自己的网页服务器。我将一根网线连接到电源连接器旁边的端口和我的笔记本电脑。
这个网络没有 DHCP,所以你必须手动设置你的 IP 地址。你选择的 IP 地址必须是 192.168.90.X/24,并且应该高于 192.168.90.105 以避免与网络上的其他主机冲突。在 Reddit 上,我找到了一份来自车辆的旧 /etc/hosts 文件内容,显示了通常与特定 IP 地址关联的主机:
192.168.90.100 cid ice # mcu
192.168.90.100 ic # 仅限 Model X/S | IC = 仪表盘 (instrument cluster)
192.168.90.102 gw # 网关 (gateway)
192.168.90.103 ap ape # ap = 自动辅助驾驶 (autopilot)
192.168.90.104 lb # 不清楚
192.168.90.105 ap-b ape-b # 同样也是自动辅助驾驶
192.168.90.30 tuner # 还是不清楚
192.168.90.60 modem # 这个有 ftp 服务器
@lewurm 的博客提到,在 MCU(192.168.90.100)上,端口 :22 的 SSH 和 :8080 的网页服务器是开放的。在较新的型号上情况仍然如此吗?是的!
我已经在 MCU 上找到了两个可以探索的服务:
- 一个 SSH 服务器,上面写着 “SSH allowed: vehicle parked” ——考虑到当前情况,这相当有趣
- 这个 SSH 服务器需要特殊签名的 SSH 密钥,而这些密钥本应只有特斯拉才能生成。
- 有趣的是,特斯拉在其漏洞悬赏项目中提供了一个 “Root 访问项目”(“Root access program”)。找到至少一个有效“root 级”漏洞的研究人员将获得一个用于他们自己车辆的永久 SSH 证书,允许他们以 root 身份登录并进一步进行研究。——这是一个很好的福利,因为一旦进入内部,找到更多漏洞就容易多了。
- 一个在
:8080 端口上的类似 REST 的 API,它返回“任务”的历史记录
- 这项服务被称为“ODIN”(车载诊断接口网络, On-Board Diagnostic Interface Network),故意暴露出来以供特斯拉的诊断工具“Toolbox”使用。
大约在这个时候,我还移除了金属屏蔽盖,以查看板子内部的确切样子。你可以看到原来上下叠装在一起的两块不同的电路板:
当屏幕和宝马 LVDS 线缆到货后,不幸的是,很明显连接器不合适。宝马连接器的两侧要厚得多,无法插入屏幕。这导致了一些非常简陋的临时尝试:将 MCU 和屏幕原本被剪短的“尾巴”线缆剥开,然后把单根电线连接在一起。电线非常敏感且纤细。这个设置 成功运行了几秒钟,但导致线屑掉落在 PCB 上造成短路,烧坏了一个电源控制芯片:
要找到被烧坏芯片的名称/型号极其困难,尤其是因为芯片上印刷的部分文字因损坏而变得无法辨认。为了能继续这个项目,我不得不订购另一台完整的车载电脑。
与此同时,我的朋友 Yasser (@n3r0li) 不知怎么地完成了不可能的任务,将其识别为 “MAX16932CATIS/V+T” 降压控制器,负责将电源转换为更低的电压。我们订购了芯片,并将电路板带到当地的 PCB 维修店,他们成功地更换并修复了 MCU。现在我有了两台电脑可以工作。
所以我真的需要那根 Rosenberger 线缆,这是绕不过去的。
在网上寻找无果,甚至去了伦敦的特斯拉服务中心(这至少可以说是一次奇怪的经历)之后,我不得不接受我一直试图避免的事情:购买一整套仪表盘线束。
回到特斯拉的电气参考,除了连接器,你还可以找到每一个零件编号。查看连接 MCU 和屏幕的线缆,显示编号为 1067960-XX-E。在 eBay 上搜索这个编号,会跳出这个“怪物”:
原来,真正的汽车没有单独的线缆。相反,它们有这些大的“线束”,它们将附近区域的许多线缆捆绑成一个整体。这就是我之前找不到单独线缆的原因。他们根本不单独生产它。不幸的是,我别无选择,只能用 80 美元买下这整个线束。
尽管它很笨重,但这束线束工作得非常完美。车辆启动了,触摸屏开始工作,我的桌上有了一个正常工作的车载电脑,运行着车辆的操作系统!
现在有了运行的系统,我可以开始摆弄用户界面,与暴露的网络接口交互,探索 CAN 总线,甚至可能尝试提取固件。
原文:https://bugs.xdavidhu.me/tesla/2026/03/23/running-tesla-model-3s-computer-on-my-desk-using-parts-from-crashed-cars/
对汽车硬件逆向与漏洞挖掘感兴趣的朋友,欢迎来云栈社区一起交流。
发表于 4 小时前
|
查看: 7|
回复: 0
