首个针对星链的攻击手法:篡改终端执行任意代码

近日，来自比利时研究型综合高校鲁汶大学的安全研究人员设计出了一款能够访问星链天线系统的定制化黑客工具。

该安全人员在本届拉斯维加斯黑帽安全大会上展示如何通过一系列漏洞访问星链系统，并在设备上运行自定义代码。

据悉，该安全人员先是买下了一副星链系统的天线进行拆解后，设计出一款能直接接入星链天线的定制化黑客工具。

这款工具的基础是一种名为 modchip 的定制电路板，完全采用现成的零部件组装完成，合计花费的成本仅 25 美元。

安全人员使用电路板接入系统后就能发起故障注入攻击，导致系统出现暂时性的短路从而绕过星链的安全保护机制。

之后，安全人员就可以直接入侵并访问到星链系统中原本被锁定的部分资料，这位安全人员也解释了他的攻击思路。

据悉，他从2021年05月开始就着手研究测试星链系统， 首先是购买了一副星链系统的天线，在单位楼顶进行测试。

他在鲁汶大学的楼顶测试后，得到 268 Mbps 的下载速度和 49 Mbps的上传速度，之后就着手对天线终端进行拆解。

经过分析天线终端的组件构成后，逐渐摸清了星链终端的一些工作机制，比如系统如何启动和下载固件更新的等等。

之后，他便设计出了 modchip 的定制电路板，这是由Raspberry Pi微控制器、闪存、电子开关和稳压器组成的工具。

为了接入终端软件，这款定制系统会通过电压故障注入的攻击方式绕过星链系统的用来进行签名验证安全检查机制。

星链天线开启时会历经多个不同引导程序加载阶段，攻击就指向了第一个引导加载程序也就是 ROM 引导加载程序。

而安全人员之所以首选该程序作为攻击对象，是因为该程序被直接刻录在片上系统的，因此无法进行线上自动更新。

攻击成功后，安全人员会在接下来的引导加载程序上修改固件，从而成功的达到了夺取星链终端天线控制权的目的。

安全人员表示，他的攻击方案的本质，就是先禁用去耦电容，再运行故障以绕过安全保护，最后重新启用去耦电容。

简单理解，就是刻意利用短路的方式欺骗系统的签名认证过程，抢在星链终端启动开始时就完成对芯片的注入故障。

安全人员去年就向星链项目方通报了漏洞缺陷并获得了相应的奖金，星链项目方及时进行固件更新，但治标未治本。

前文我们提到，安全人员利用的是无法进行固件更新的被直接刻录在片上系统的程序，固件更新只是提高安全门槛。

因此，安全人员只需要就简单的调整一下自己的定制工具，就能继续实施入侵，绕过保护机制，成功破解天线固件。

目前，这位安全人员并没有出售 modchi 成品的打算，也没有公布任何篡改后的用户终端固件或者漏洞利用的细节。

不过，这位安全人员却选择了在 GitHub 上开源了自己的上述黑客工具，并且还分享出来关于攻击方式的一些细节。

星链项目方表示，此类工具需要对用户终端进行物理访问，安全启动系统故障只能影响当前终端而非整个星链系统。

其实，我们不难发现这位安全人员向我们提供了一种全新的攻击思路：想攻击卫星本体很难，但借助终端就简单了。

这倒是和我们中国古代先贤的想法不谋而合：这不就是所谓千里之堤毁于蚁穴，完美的组织往往都是从内部瓦解的。