引言

在我们上一篇关于Kenwood DNR1007XR的博客中，我们详细介绍了这款车载信息娱乐主机的内部构造，并提供了主板PCB的注解图片。本文旨在概述DNR1007XR的攻击面，希望为漏洞研究提供启发。我们将涵盖可能构成潜在攻击面的主要支持技术，例如USB、蓝牙、Android Auto、Apple CarPlay、Kenwood应用等。所有信息均通过逆向工程、实验以及梳理以下资源获得：

• DNR1007XR产品页面
• DNR1007XR使用说明书
• DNR1007XR快速入门指南
• Kenwood Portal 应用
• Kenwood Remote S 应用

USB

DNR1007XR配备了一个支持USB 2.0速率的USB-A端口，为有线Android Auto和Apple CarPlay提供了必要接口。该USB端口也支持从U盘播放音频文件。支持的音频文件类型及其扩展名包括：

• MP3 (.mp3)
• WMA (.wma)
• AAC-LC (.m4a)
• WAV (.wav)
• FLAC (.flac, .fla)
• Vorbis (.ogg)
• DSD (.dsf, .dff)

除了音频，U盘也可用于播放视频文件。支持的视频文件类型及其扩展名包括：

• MPEG-1 (.mpg, .mpeg)
• MPEG-2 (.mpg, .mpeg)
• H.264 / MPEG-4 (.mp4, .m4v, .avi, .flv, .f4v)
• WMV (.wmv)
• MKV (.mkv)

众所周知，对这些文件格式进行鲁棒地解析和解码非常复杂且容易出错，这构成了一个潜在回报丰厚的攻击面。U盘必须格式化为FAT16、FAT32、exFAT或NTFS，主机才能读取。

SD卡

一个全尺寸SD卡插槽隐藏在屏幕后面，用于音频/视频播放以及更新地图数据。如前所述，在解析音频和视频文件时会暴露巨大的攻击面。地图更新可能也是一个很好的研究目标。 SD卡必须格式化为FAT16、FAT32、exFAT或NTFS，主机才能读取。

蓝牙

主机支持蓝牙5.0版本，用于拨打和接听电话，以及从配对的移动设备播放音频。用户手册中官方记录的蓝牙配置文件包括：

• 免提配置文件 v1.7
• 串行端口配置文件
• 电话簿访问配置文件
• 音频/视频远程控制配置文件 (AVRCP) v1.6
• 高级音频分发配置文件 (A2DP)
  • 支持编解码器：SBC, AAC, 或 LDAC

Android Auto、Apple CarPlay和Kenwood应用也在不同程度上利用了蓝牙。探查设备显示了一些未记录的蓝牙服务；这些可能是很好的研究领域。根据服务名称判断，它们可能都与Kenwood应用相关。

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52

Service RecHandle: 0x10003
Service Class ID List:
  UUID 128: 00001101-0000-1000-8000-00805f9b34fb
Protocol Descriptor List:
  "L2CAP" (0x0100)
  "RFCOMM" (0x0003)
    Channel: 2

Service Name: App1
Service RecHandle: 0x10004
Service Class ID List:
  UUID 128: 00000000-deca-fade-deca-deafdecacaff
Protocol Descriptor List:
  "L2CAP" (0x0100)
  "RFCOMM" (0x0003)
    Channel: 3

Service Name: App2
Service RecHandle: 0x10005
Service Class ID List:
  UUID 128: 4de17a00-52cb-11e6-bdf4-0800200c9a66
Protocol Descriptor List:
  "L2CAP" (0x0100)
  "RFCOMM" (0x0003)
    Channel: 4

Service Name: App3
Service RecHandle: 0x10006
Service Class ID List:
  UUID 128: 4de17a00-52cb-11e6-bdf4-0800200c9a66
Protocol Descriptor List:
  "L2CAP" (0x0100)
  "RFCOMM" (0x0003)
    Channel: 5

Service Name: App4
Service RecHandle: 0x10007
Service Class ID List:
  UUID 128: 4de17a00-52cb-11e6-bdf4-0800200c9a66
Protocol Descriptor List:
  "L2CAP" (0x0100)
  "RFCOMM" (0x0003)
    Channel: 6

Service Name: App5
Service RecHandle: 0x10008
Service Class ID List:
  UUID 128: 4de17a00-52cb-11e6-bdf4-0800200c9a66
Protocol Descriptor List:
  "L2CAP" (0x0100)
  "RFCOMM" (0x0003)
    Channel: 7

Wi-Fi

主机提供了一个WiFi接入点，主要用于无线Android Auto和Apple CarPlay。设计初衷并非让最终用户直接连接到此网络，也没有官方记录的获取密码的方法。然而，内部研究发现有多种方法可以获取密码。 连接到该接入点后，以下端口开放：

• TCP: 7000, 8086, 8888, 5355, 22
• UDP: 67, 5353, 5355, 34613, 50842

TCP 22端口是一个SSH服务器，可以登录。根据竞赛规则，“如果参赛作品利用了硬编码凭证和/或暴露的加密密钥，则该作品必须利用另一个额外的漏洞来实现代码执行，才能符合参赛范围。” TCP 7000、8086和8888端口都运行着非标准服务，很可能是进一步研究的绝佳切入点。

Android Auto 和 Apple CarPlay

支持有线和无线Android Auto及Apple CarPlay，且配对的手机上无需安装第三方应用。使用无线版本时，配对的手机连接到上述加密的WiFi网络，以建立一个高带宽通道用于数据收发。 当使用USB线缆连接时，Android Auto或Apple CarPlay不会使用WiFi网络，但网络仍然处于活动状态。

Kenwood应用

Kenwood提供了2款Android/iOS应用与DNR1007XR交互。第一款是Kenwood Portal应用，允许用户通过蓝牙将手机中的照片传输到主机。传输的照片随后可以在主机上以幻灯片形式查看，或用作墙纸。 这构成了一个有趣的攻击面，特别是如果DNR1007XR本身对接收到的图像执行任何复杂的图像处理任务，例如调整大小或在不同图像格式之间转换。用户提供的图像也需要持久化存储到主机的文件系统中，进一步扩大了攻击面。 第二款应用是Kenwood Remote S应用，它通过蓝牙连接到主机，允许进行多媒体控制，例如选择电台、跳曲等。蓝牙音频/视频远程控制配置文件（AVRCP）正是为此类任务设计的；然而，未进行研究以确认Remote S应用是否利用了AVRCP。 还有其他几款Kenwood应用可用，但DNR1007XR产品页面未列出它们受支持，因此尚未进行探索。

开源软件

可以通过导航到 设置 -> 系统 -> 开源许可证，从主机查看开源许可证列表。不保证这些开源项目确实被本机使用。

总结

我们希望这篇博文提供了关于DNR1007XR威胁态势的足够信息，以指导漏洞研究。并非所有攻击面都已提及，我们鼓励研究人员进一步调查。 我们期待再次参加2026年1月在东京汽车世界举办的汽车Pwn2Own比赛，届时我们将看看IVI厂商是否提升了其产品的安全性。请勿等到最后一刻才提问和注册！希望在那里见到您。 您可以在Twitter @ByteInsight 上找到我，并在Twitter、Mastodon、LinkedIn或Bluesky上关注团队，以获取最新的漏洞利用技术和安全补丁信息。