真卫星破解｜首个针对马斯克“星链”的攻击方法公开

2018年至今，马斯克发起的星链计划（Starlink）已把3000多颗小型卫星送入轨道。据媒体报道，星链在俄乌冲突期间已经成为乌方的重要联网方式。目前，SpaceX已获准发射12000星链卫星，并申请批准在此基础上再发射30000颗。不过，万物皆可被破解，“星链”也不例外。

当地时间周四，在拉斯维加斯举行的Black Hat 大会上，来自比利时鲁汶大学(KU Leuven)的安全研究员Lennert Wouters 在现场演示成功破解了 SpaceX其中一个 Starlink 用户终端，也就是位于住宅和建筑物上的星链卫星天线。

整个破解过程利用了一系列硬件漏洞侵入Starlink卫星天线终端，并获得系统访问权限，最终可以让用户终端无法正常使用，且可以在设备上执行任意代码。

破解过程中用到的破解设备是一种叫modchip的定制电路板，经过定制后可以连接到Wouters自己购买并改造过的星链天线，成本只有25美元。连接到星链天线后，这个自制工具就能够发起故障注入攻击，使系统短暂短路进而绕过星链的安全保护，进入被锁定的星链系统。作为攻击者，常规思路是尝试制作自己的系统来与卫星通信，进而黑掉卫星。不过通过用户终端入侵相比之下更简单一些。

2021年，Wouter曾向Starlink通报了相关漏洞，并收到了漏洞赏金。Wouters表示，虽然SpaceX已发布更新让攻击不那么容易成功，但是只有 Starlink 开发新版本的主芯片，才能从根源上解决问题。目前来看，**星链用户终端仍然容易受到攻击，**Wouter调整 modchip 还是能成功入侵。

8月11日，Starlink官方表示 Wouters 的高水平研究的确令人印象深刻，这类攻击也是系统中首次出现，让他们意识到存在的安全问题，他们将采用“最低权限”设计原则来减轻这类攻击造成的影响。Starlink同时表示，因为攻击需要对用户终端进行物理访问，因此普通用户不必担心漏洞的影响，也欢迎更多安全研究人员研究星链的安全问题。

长达一年的破解之路

Starlink的互联网系统由三个主要部分组成。

• 卫星在距地表约340英里的近地轨道上运行；

• 卫星与地球通信：将互联网连接发送到卫星的网关

• 卫星与地球通信：将互联网连接发送到用户购买安装的Dishy McFlatface卫星天线

Wouters的研究目标就是用户终端（Dishy McFlatface卫星天线），这些天线最初是圆形的，新的型号已经改为矩形。Wouters对星链用户终端的攻击涉及多个阶段、不同的技术措施，最终他完成了目前开源的星链天线破解工具。破解过程就是使用定制电路板绕过系统启动时的签名验证，让系统以为已经正确启动且没有被篡改。定制电路板的能用于精确计算注入故障的时机。

从2021年5月开始，Wouters就开始测试星链系统，他购买了一个星链天线，在鲁汶大学的楼顶上测试天线的功能（268 Mbps的下载速度和49 Mbps的上传速度）。然后，他用“热风枪、撬棒、异丙醇”等工具，耐心尝试，最终成功从天线上取下大金属盖，开始拆解分析内部组件。

星链天线直径59厘米的金属盖下是一个大型PCB板。其中一个片上系统使用了一个定制的四核ARM Cortex-A53处理器。这个处理器的架构没有公开过，因此很难破解。板上还有射频设备、以太网供电系统和GPS接收器等组件。拆解之后，Wouters了解星链终端启动和下载固件的过程。

设计modchip前，Wouters扫描了星链天线并针对现有星链PCB板进行了最合适的设计。用于攻击的modchip由树莓派微控制器、闪存、电子开关和稳压器组成，需要用几根导线焊接到现有的星链PCB板上。在制作用户终端电路板时，星链工程师在板子上印制了“产自地球、人类制造”的字样。Wouters在自制的modchip上写的是：“坏在地球、人类制造”，这也成了他演讲的主题。

为了访问星链的终端软件，Wouters使用自定义系统，通过电压故障注入攻击绕过安全保护。当星链天线开启时，会启动一系列不同的引导加载程序。其中，第一个引导加载程序（也就是ROM引导加载程序）被刻录到片上系统并且无法更新。因此，Wouters 的攻击就先利用了这个程序的故障，成功后会在后续的引导加载程序上修改固件，进而获取系统控制权。

Wouters认为：“总体来看，签名验证或哈希验证是最明显的攻击切入点。”这次的故障注入攻击针对的是签名验证过程，故意让系统短路。

最初，Wouters打算在引导周期结束时（即Linux操作系统加载完成）再向芯片注入故障，但最终发现在引导开始时更容易注入故障。Wouters认为这种方式更可靠。为了注入故障，他必须让用于平滑电源的去耦电容器停止运行。攻击会首先禁用去耦电容器，再运行故障以绕过安全保护，最后再次启用去耦电容器。

通过这一系列操作，就可以在启动周期内篡改、运行星链固件，最终得以访问其底层系统。Wouters说，研究期间，Starlink曾向他提供了研究人员级别的访问权限，但Wouters拒绝了。他不想在这方面钻研太深，想把主要精力放在modchip的制作上。（在测试期间，他把改装过的天线挂在实验室的窗户外面，还套了个塑料袋临时防水。）

针对星链的更新和回应，Wouters认为：虽然这次攻击不像破坏卫星系统或卫星通信那样具有破坏性，但可以更深入了解星链网络的运作方式。

“我现在的重点工作是与后端服务器通信。”Wouters 原本开源在Github上的详细信息已经隐藏，也并不打算出售modchip成品或提供修改后的用户终端固件以及漏洞利用细节。

目前，亚马逊、OneWeb、波音、Telesat和SpaceX都在打造自己的“星链”，随着越来越多的卫星发射，卫星的安全性将受到更严格的审查。除了为家庭提供互联网连接外，卫星系统在关键基础设施中也发挥着作用。评估卫星系统及终端系统的安全性，将越来越重要。

参考来源：

https://www.wired.com/story/starlink-internet-dish-hack/

https://github.com/KULeuven-COSIC/Starlink-FI 

https://api.starlink.com/public-files/StarlinkWelcomesSecurityResearchersBringOnTheBugs.pdf

GeekPwn 国际安全极客大赛积极推动各领域的网络安全发展、鼓励前沿技术的安全创新，以可视化舞台形式展现极客技术、促进提升大众安全意识。九年来，GeekPwn见证了数千名参赛选手的成长，负责任地披露了1000多个安全漏洞。2022年，GeekPwn将继续记录极客故事、见证极客力量。

分享收藏点赞在看