為助力中國電子工程師更好將創新創意落地，

由華強芯城、電子發燒友網攜手ARM聯合舉辦

華強芯城2017工程師創新設計大賽[點擊報名]

為什么要舉辦這個大賽？

簡單來說，就是一個給工程師創意創新造夢的舞臺；

沒有參賽利器？送你mbed相關開發套件；

如果你是一枚科技極客俠，

擁有無數天馬行空的想法；

如果你是智造DIY達人，

用有眾多令人欽羨的技能；

如果你想親自參與改變未來智能電子產品，

而且創意爆表；

NB了，Word天！你還在猶豫什么？

Come on！“華強芯城2017工程師創新設計大賽”并且期待你組隊來迎戰！

未來的創新設計舞臺就在這里

快來盡情揮灑你的靈感吧~

嵌入式產品Hacking 一直都是備受關注的議題，而越來越多的攻擊者也瞄上了物聯網嵌入式設備。跟以往純軟件安全研究不同的是，這類研究往往需要結合相應的硬件知識和設備。如何能快速入門嵌入式系統？本文分享針對I2C協議的實戰案例和相應的工具使用。希望可以一起來Hacking all the Things。

I2C協議基礎

凡是接觸過嵌入式系統的朋友，對I2C協議一定不會陌生。其與UART，SPI和JTAG等并列為最常見調試協議。I2C 全稱為Inter-Integrated Circuit，是由飛利浦公司設計的一種多主從架構的串口通訊協議。

I2C協議非常簡單，僅有Clock 和 Data 兩條數據總線，外加 Ground. 通常是1個主設備和多個從設備的架構。在通訊速度上分別為100khz，400khz，1Mhz，3.2Mhz。在運用方面對速度沒有高要求的，都可以使用I2C進行通訊。比如PC風扇的溫度和電池的電壓數據采集等，每個I2C設備都各有一個讀和寫地址，只有知道了這個讀寫地址才能跟其通訊。

除此之外許多用來存儲系統配置和參數的EEPROM芯片自身也支持I2C協議，比如IBM Thinkpad 系列用來存儲BIOS 密碼的EEPROM，就是通過I2C協議在MCU與EEPROM 之間進行交互。

神器BusPirate

工欲善其事必先利其器，擁有一款神器對嵌入式設備Hacking將起到事半功倍的作用。BusPirate 是由Dangerous prototypes 設計出品的一款硬件hacking 瑞士軍刀，支持多項常見協議并可跨平臺Windows/Linux/MAC，并擁有豐富的幫助文檔。

BusPirate可以Sniffing 和讀寫 I2C等協議，同時還可對AVR 等芯片進行編程操作，在操作上也是非常簡單，只需用minicom 以115200 波特率跟BusPirate連接便可。

BusPirate支持協議如下：

BusPirate 接口連接示意圖：

BusPirate 命令列表：

攻擊案例 -- 數字密碼鎖

接下來我們來看一個通過分析I2C 協議，從而破解門鎖密碼的實戰案例，我們的目標是這款 型號為YL99 的數字密碼鎖。這款密碼鎖完全依賴于用戶設置的數字密碼，也許對某些人來說不需要帶一堆鑰匙的確方便了很多。

因為YL99 是完全電子化的的門鎖，所以提供了普通機械鎖沒有的功能。比如YL99 擁有多 個功能不同的賬戶，Master 賬戶：可用于設置管理用戶密碼（默認0123#）。普通賬戶：用于存儲普通用戶密碼。YL99 同時還提供了貼心的防密碼泄漏功能，操作方法：鍵入起始碼（0） + 跟隨用于掩蓋的任意幾位數字+ 跟隨正確密碼 + # （確認結束）。 通過這樣的方式就算邊上有人，也不怕被看到正確密碼了。

但是千里之堤，潰于蟻穴。YL99 的設計缺陷，竟能讓人從外部將鎖的鍵盤部分分離，從而訪問到內部PCB 主板。而玩過硬件Hacking 的朋友都知道，被人輕易訪問到內部PCB 主板部分是大忌。

在YL99被打開后主板結構便展現眼前。除了YL99 使用的元器件外，我們還可以清晰看到主板上還標有一個Reset 復位觸點。那么這個時候我們便可以通過短接復位觸點和Ground 的方式將密碼恢復到出廠設置，從而得到bypass 的目的。但這方法的短處也非常明顯，在bypass 的時候每次都需要卸螺絲，而且如果恢復到出廠值，很容易就被人發現了。

不過好戲才剛開始。我們在主板上還發現了YL99使用的MCU em78p156e 和用來存儲密碼信息的EEPROM 24C02。通過閱讀24C02 的datasheet 我們得知其使用I2C 協議和MCU 通訊，同時datasheet 也清晰的標出了芯片管腳的用途，比如I2C 使用的SCL（時鐘頻率） 和SDA（數據總線）。

終于我們的神器BusPirate要派上用場了。我們首先用數據線將24C02的I2C 管腳和BusPirate的對應接口連接起來。

隨后通過minicom 或其他serial tools 進入Buspirate的I2C調試模式。

在I2C 的調試模式中，有個非常有用的功能I2C sniffer。通過它我們可以監控I2C 的數據，用過WIRESHARK 的朋友一定不會陌生。

開啟了I2C Sniffer 模式后，我們便可開始觀察MCU 和 EEPROM之間的密碼交互。比如YL99 的密碼輸入過程為起始碼（0） + 正確密碼 + 結束確認（#）。

通過觀察發現在按下結束確認（#） 后，MCU 便向24C02 發送密碼驗證請求。但隨后致命的設計錯誤出現，EPPROM 24C02 將正確的密碼以明文的方式發回給MCU 以求完成密碼驗證過程，而這過程我們通過BusPirate 的I2C sniffer一覽無遺。

▲如圖：因為使用的little endian 所以密碼 123 和456 會反著顯示

總結

通過本文的介紹和實踐案例，相信大家對I2C 協議和利用方式有了一定的了解。劍走偏鋒，反其道行之。攻擊者往往將系統的短板作為攻擊點，倘若某款嵌入式系統的設計者僅僅考慮到軟件層面的安全，而攻擊者又能得到物理訪問的話，那些防御方式便形同虛設。同時嵌入式產品往往面臨上市后便難以升級的困難，一旦攻擊方式曝光由此給產品帶來的損失是巨大的，因此安全產品在設計之初即應將安全考慮進去。