深入剖析 Kenwood DNR1007XR 攻击面—

简介

为即将到来的 Pwn2Own Automotive 竞赛，我们选定了总计3款车载主机作为目标。其中之一是双DIN规格的 Kenwood DNR1007XR，它提供多种功能，如 Android Auto、Apple CarPlay、USB 媒体播放、无线镜像等。本篇博客展示了 DNR1007XR 的照片，并重点突出了其内部有趣的组件。同时，还详细介绍了一个可用于获取 shell 的隐藏调试接口。

Figure 1: Kenwood DNR1007XR

图1： Kenwood DNR1007XR

外部接口

隐藏在屏幕后面的是一个标准尺寸的SD卡插槽，可以通过将屏幕向下倾斜来访问。该SD卡用于播放音/视频文件以及更新地图数据。这似乎是一个值得研究的攻击面。

Figure 2: SD card slot

图2： SD卡插槽

此外，设备背面还引出一个USB端口，用于：

有线 Android Auto
有线 Apple CarPlay
音频播放
视频播放

内部结构

接下来看内部结构。DNR1007XR 由多个互连的电路板组成，其中最引人关注的是位于设备顶部的电路板。拧下几颗螺丝并取下金属盖板后，即可接触到这块主板，其上包含了主处理器、eMMC、闪存以及蓝牙/WiFi 无线模块。

Figure 3: Main board

图3：主板

靠近中心位置的是主要的 Dolphin+ TCC8034 片上系统（SoC），它被宣传为一种“车载信息娱乐系统和仪表盘解决方案”，支持运行 Android、Linux 和 QNX。该 SoC 包含两个 32 位 ARM 核心，并运行 Linux。去年的 Kenwood 目标设备使用了类似的 TCC8974 SoC；更多信息可在此处找到。

Figure 4: Dolphin+ TCC8034 SoC

图4： Dolphin+ TCC8034 SoC

再往右侧，是一个 Kioxia THGBMJG7C2LBAU8 16GB eMMC 芯片，其中包含了设备的主固件。

Figure 5: Kioxia eMMC

图5： Kioxia eMMC 芯片

在 eMMC 芯片下方偏左的位置，是一颗 Winbond 25Q256JVFM 256Mb 串行闪存芯片，其存储的数据内容未知。

Figure 6: Winbond flash

图6： Winbond 闪存芯片

最后，在 SoC 左侧是一个 Murata 无线模块，负责处理 Wi-Fi 和蓝牙操作。搜索蚀刻在该模块屏蔽罩上的确切型号并未获得太多信息，但 DNR1007XR 的 FCC 文件表明这是 Murata LBEE6ZZ1WD-334 模块。此模块没有公开的数据手册，也未在 Murata 官网上列出。

Figure 7: Murata radio

图7： Murata 无线模块

调试接口

在主板的右边缘有一个看起来可疑的连接器，它与外壳上的细缝对齐。该接口以 115200bps 的波特率通过 UART 暴露了一个 Linux 登录提示符。使用正确的凭据登录将生成一个 shell。

Figure 8: Debug connector

图8：调试接口

总结

希望本篇博客能提供足够的信息，启动针对 DNR1007XR 的漏洞研究。请关注本周五发布的另一篇博客，该博客将涵盖 DNR1007XR 的威胁态势。我们期待 2026 年 1 月再次迎来 Automotive Pwn2Own，届时我们将看看车载信息娱乐系统厂商是否提升了其产品的安全性。希望在那里见到您。在此期间，您可以在 Twitter @ByteInsight 上找到我，并在 Twitter、Mastodon、LinkedIn 或 Bluesky 上关注我们的团队，以获取最新的漏洞利用技术和安全补丁信息。