物联网安全探索：2016款福特Flex

作者：David Fletcher

我和妻子最近购买了一辆2016款福特Flex，取代因意外报废的同款旧车。销售人员在介绍功能时特别强调，这款Sync平台的便利之处在于可以通过Wi-Fi更新信息娱乐单元的固件。

话音刚落，妻子就转头对我说：“别打什么主意。“但她明白我至少会分析这个更新过程。回家后，我按照这篇博客的方法创建了软件接入点，开始研究更新过程涉及的安全特性。

初始发现

通过触摸屏界面可以禁用所有暴露的接口功能，包括Wi-Fi、蓝牙和固件自动更新。为测试需要，我同时启用了Wi-Fi和自动更新功能以便观察。

连接测试

车辆允许无警告地连接任何无线网络。我特意配置了无加密的接入点，车辆仍直接连接，仅通过开锁图标表示网络不安全。车主手册同样未提及开放网络的风险警告。

网络流量分析

通过tcpdump捕获流量发现：

1. 连接时产生大量DHCPv4/v6请求
2. 存在ARP探测和mDNS查询等异常行为
3. 更新服务器域名为ivsu.software.ford.com（解析至191.236.55.220）
4. 所有通信均通过明文HTTP进行

协议解码

HTTP请求包含Base64编码的XML文档，解码后可见：

• 车辆VIN码
• 各组件序列号
• ECU地址和MAC地址
• 标记为"SyncData"的加密数据段

响应报文同样采用Base64编码，包含与请求匹配的字段规格说明。在后续分析中，还捕获到通过HTTP明文下载的更新文件。

安全漏洞总结

1. 无警告连接开放Wi-Fi网络
2. 车主手册未提示开放网络风险
3. 车辆运行mDNS服务探测网络
4. 全部通信使用未加密HTTP
5. 缺乏更新内容访问控制机制
6. 仅通过Base64编码混淆敏感数据

虽然未直接传输车主敏感信息，但攻击者可通过中间人攻击：

• 获取车辆组件信息
• 通过IP地址地理定位车辆位置

目前建议保持Wi-Fi和自动更新功能禁用状态。后续将针对下载的更新文件进行深入分析。