索尼XAV-AX5500车载设备的攻击面分析

XAV-AX5500为索尼2020年发布的一款全新的车载中控屏幕设备，它提供了强大的声音性能、流畅灵敏的触控屏，并且可以与用户的智能设备无缝集成。

规格上XAV-AX5500搭载了一块6.95英寸屏幕，支持电容触控，内置DSP（数字声音处理器），搭载EXTRA BASS技术，兼容FLAC无损音频文件；设计上，XAV-AX5500采用了无边框设计，后机架单DIN尺寸，节省空间，圆滑的铝制拉丝纹理按钮，符合人体工学；功能上，XAV-AX5500兼容Android与iOS，同时支持Apple CarPlay和Android Auto。如果你的手机没有上述2种功能，索尼XAV-AX5500还支持WebLink Cast，通过有线连接可以镜像手机屏幕，此外还有倒车影像和快速唤醒等功能。

总的来说，索尼XAV-AX5500是一款流行的售后市场车载主机，可与车辆内的不同系统进行交互。不过，对于攻击者来说，这也为攻击者提供了一个攻击汽车的潜在立足点。

从广义上讲，车载主机的攻击面可以分为以下8类：

1.Abalta Technologies的WebLink。Abalta Technologies是一家车联网服务软件解决方案提供商,目前致力于智能车载主机与车辆的整合，和LivioConnect协议一样，Weblink从本质上来说是一种中间桥梁，它使得汽车的信息娱乐系统与便携车载主机上的移动应用程序通过蓝牙、USB或wifi进行连接和相互作用。Weblink的很多应用程序已经得到许多追捧，例如导航类应用程序WebNav，流媒体音乐程序Slacker，事件指南应用Wcities以及一个指导你停车的应用程序Parkopedia。

2.Apple CarPlay。CarPlay 是Apple的车载系统，它将用户的iOS车载主机、 iOS使用体验与仪表盘系统无缝结合，CarPlay仅仅支持拥有Lightning接口的iPhone手机，另外虽然iPad已经支持这一接口，但是苹果并未将iPad列为CarPlay支持的硬件车载主机。2016年6月13日，苹果在WWDC开发者大会上表示，该公司的智能车载系统CarPlay将与iOS 10一同更新，成为新版苹果地图和Siri的最佳搭档。

3.Android Auto。Android Auto 是谷歌推出的一款车载智能系统，它可以让您在驾驶过程中便捷使用手机上的地图、音乐、电话、信息等功能。Android Auto 的界面设计简洁美观，操作逻辑清晰易懂，语音控制功能强大灵敏，支持多种第三方应用。

3.卫星广播服务SiriusXM。Sirius XM为美国的数字及卫星广播服务供应商，提供各种与声音有关的数字娱乐，不管是音乐、运动、谈话节目或播客等，号称是北美最大的数字音频供应商，其SiriusXM服务安装在美国所有主要汽车品牌的新车上，就算是中古车也有接近一半内置了SiriusXM。SiriusXM系统含有一个身份认证漏洞，由于SiriusXM被集成在不同品牌的车载资讯系统上，于是便可借由该漏洞挟持车载资讯系统，只要知道汽车的识别码（VIN），就能访问汽车与车主资讯、远程解锁及启动汽车、定位汽车或闪光灯等。

4.蓝牙连接。

5.USB媒介。

6.无线电数据系统(RDS)，它是在调频广播发射信号中利用副载波把电台名称、节目类型、节目内容及其它信息以数字形式发送出去。rds 系统独有“交流信息”功能，若有紧急事件，电台就会发送特殊信号，令收音机强行播放。rds 在汽车，手机等移动车载主机上使用很方便。

7.开源软件。

以下链接提供了制造商关于XAV-AX5500车载主机的详细信息，它们提供了车载主机中使用的技术的更多描述。

1.索尼XAV-AX5500产品页面https://www.sony.com/et/electronics/in-car-receivers-players/xav-ax5500；

2.索尼XAV-AX5500文档下载https://www.sony.com/electronics/support/mobile-cd-players-digital-media-players-xav-series/xav-ax5500/manuals；

3.索尼XAV-AX5500固件下载https://www.sony.com/electronics/support/mobile-cd-players-digital-media-players-xav-series/xav-ax5500/downloads；

4.索尼XAV-AX5500规格https://www.sony.com/et/electronics/in-car-receivers-players/xav-ax5500/specifications；

5.索尼XAV-AX5500帮助指南https://helpguide.sony.net/ev/xav-ax55/v1/en/index.html；

6.索尼XAV-AX5500帮助指南- USB端口功能描述https://helpguide.sony.net/ev/xav-ax55/v1/en/contents/TP0002733734.html；

索尼XAV-AX5500使用Abalta Technologies的webblink应用程序，该应用程序在车载主机上同时支持Apple CarPlay和Android Auto。当通过USB将手机连接到车载主机时，用户必须启动WebLink应用程序才能激活Apple CarPlay或Android Auto。

除了启用驾驶员首选的驾驶辅助技术外，WebLink应用程序还提供了自己的一组功能，这些功能可能会扩大索尼XAV-AX5500和联网手机的攻击面。

第一个最有可能被滥用的应用程序是WebLink的“Cast”功能。Cast功能显示所连接手机的触摸界面，这允许用户直接从索尼XAV-AX5500触摸屏控制他们的手机。Cast功能要求用户从其移动车载主机授予权限。此外，每次启动Cast连接时，用户都必须允许从连接的手机进行此链接。这可能会限制安全风险。一旦获得许可，手机上的任何应用程序都可以从车载主机启动，索尼XAV-AX5500将几乎完全控制手机功能，包括更改手机配置和访问敏感用户数据的能力。如果车载主机被攻击者破坏，攻击者可能会利用Cast功能访问或修改手机上的数据。

第二个可能被滥用的WebLink功能是WebLink的“音乐”功能，此功能显示有关手机上当前播放的歌曲信息。目前还不完全清楚通过连接恶意手机进行滥用的可能性，但确实存在潜在的攻击面。

其他应用程序也与WebLink捆绑在一起，比如与连接的手机上的Waze卫星导航应用程序集成。它还实现了一个本地YouTube应用程序。

索尼XAV-AX5500支持Apple CarPlay驾驶辅助技术。连接的手机必须安装了webblink应用程序，才能在车载主机上访问CarPlay，连接手机后，WebLink将与该车载主机建立CarPlay会话。这种集成方式的安全影响目前尚不清楚。

一旦建立了CarPlay会话，车载主机和连接的手机就通过USB进行通信，其方式似乎与观察到的连接手机和其他制造商销售的车载主机之间发生的通信相同。

车载主机和连接的手机之间的Apple CarPlay通信通过使用IPv6连接的USB进行操作，在连接启动过程中，车载主机和连接的手机以明文形式交换少量信息，其中一些通信包括二进制Apple plist数据的传输。在此初始配置建立之后，连接的手机启动与车载主机单元的加密TLS会话，需要对这种通信进行进一步的研究，以评估通过USB和IPv6进行CarPlay通信的安全性。

索尼XAV-XV5500还支持Android自动驾驶辅助技术，连接的手机必须安装WebLink应用程序，才能在车载主机上访问Android Auto。连接手机后，WebLink将与车载主机建立Android Auto会话，这种集成方式的安全影响目前尚不清楚。有关研究人员正在进行进一步的研究，以更好地了解索尼XAV-AX5500和连接的安卓手机之间的通信。

索尼XAV-AX5500与SiriusXM卫星广播接收器捆绑在一起，此接收器连接到车载主机背面的ten-pin连接器。使用该接收器的通信代表了对车载主机的潜在攻击面。然而，攻击者可能必须击败从SiriusXM网络接收的信号中的安全层，才能尝试通过该通信信道对索尼 XAV-AX5500进行攻击。

除了针对接收器的无线电层攻击外，SiriusXM接收器和索尼 XAV-AX5500之间的本地通信也可能受到攻击，威胁模型的这一部分可能不在Pwn2Own Automotive的范围内，因为针对这一部分的攻击需要对车载主机进行不受控制的物理访问。此外，与通过USB总线进行的攻击不同，USB总线需要随意的物理访问，如果不从仪表板上拆下整个单元以访问车载主机后部的连接器，用户就无法使用SiriusXM接收器的连接器。

索尼XAV-AX5500支持与兼容的移动手机使用蓝牙通信。这允许车载主机访问连接的手机，以便拨打电话、播放音频和其他潜在用途。上述车载主机用户手册中列出了支持的配置文件和其他蓝牙支持。

供应商提供的用户指南如下：

索尼XAV-AX5500广泛使用USB总线连接手机。车载主机还支持其他类型的USB车载主机，如媒体播放器和USB存储车载主机。该车载主机 支持多种类型的媒体文件编解码器进行播放。

索尼XAV-AX5500还支持多种版本的FAT文件系统，支持此文件系统类型的车载主机通常在文件系统驱动程序中实现支持。这些类型的系统驱动程序受制于解析特制的文件系统。如果车载主机文件系统驱动程序中存在漏洞，则具有临时物理访问权限的攻击者如果连接了一个精心设计的文件系统，就可能对车载主机文件系统驱动程序执行攻击。

索尼XAV-AX5500支持多种媒体编解码器，可在车载主机上播放。其中包括许多使用最广泛的音频编解码器，包括MP3、WAV、AAC和其他媒体格式。车载主机还支持几种广泛使用的视频编解码器，如MPEG-4和WMV。像这样的媒体格式是复杂的数据流，这些编解码器的解析可能容易包含解析错误，这些错误可能会对执行解析的代码产生安全影响。

索尼XAV-AX5500实现了对无线电数据系统（RDS）标准的支持，本标准定义了在传统调频无线电广播中传输数字信息的方法。这表示由车载主机单元处理的未经验证的数据源，该标准支持多种数据格式。许多数据字段的大小受到标准中定义的限制。研究人员尚未对索尼XAV-AX5500的RDS实现进行调查，其安全风险目前未知。

这些信息是从索尼触摸屏上收集的。这里提供的年份是试图识别正在使用的版本的开始，更好的方法是获取车载主机的文件系统映像以获得更好的信息。

索尼XAV-AX5500由两块电路板组成。显示板承载主显示屏，以及机组上所有其他用户界面按钮，主板连接到车辆，并承载主ARM CPU和无线模块。为了更好地识别这些设备，有必要进行更多的研究。

索尼 XAV-AX5500 PCB的详细图像如下所示：

具有无线模块和ARM CPU的PCB板的A面

具有无线模块和ARM CPU的PCB板的B面

PCB的A面显示了MXT499T-T自适应触摸屏控制器和其他组件

PCB的B面显示了MXT499T-T自适应触摸屏控制器和其他组件

虽然这些可能不是索尼XAV-AX5500车载主机上唯一可用的攻击面，但它们代表了攻击者最有可能利用该车载主机的途径。索尼长期以来一直是无线电和消费类车载主机的领导者，从20世纪50年代的简单晶体管收音机到80年代无处不在的随身听，再到90年代的世界上第一台车载迷你光盘播放器，索尼一直在推动娱乐技术的发展。

参考及来源：https://www.zerodayinitiative.com/blog/2023/10/5/looking-at-the-attack-surface-of-the-sony-xav-ax5500-head-unit