在周六的 DEF CON 30 上,一位名为“Sick Codes”的澳大利亚人展示了一种完全控制约翰迪尔农业机械电子设备以运行第一人称射击游戏 Doom 的方法。
借助一些相当参与的黑客攻击以及在 Twitter 上被称为@Skelegant 的新西兰 Doom 模组制造商的帮助,Sick Codes 设法让 1993 年经典电脑游戏的玉米主题版本在约翰迪尔拖拉机显示器上运行.
运行 Doom 的 John Deere 硬件快照… 点击放大
Sick Codes在接受The Register的电话采访时,将他的工作描述为越狱而不是漏洞利用。
根据 Sick Codes的说法,该项目需要几个月的时间来开发。它涉及一个 John Deere 拖拉机 4240 触摸屏控制器和一个与 Arm 兼容的 NXP I.MX 6 CPU,运行Wind River Linux 8。也有运行 Windows CE 的设备。
“主要的错误是没有正确加密或校验和或类似的东西,”他解释说,并补充说修补是不切实际的。换句话说,可以在设备上运行任意代码。他建议,解决方法只是构建具有适当安全性的新设备。
显示黑客的另一种观点…点击放大
Sick Codes 在 2021 年的 DEF CON 29 上主持了一次相关会议,他将他对探索农业设备的兴趣归因于没有其他人这样做的事实。
但是在披露了一些漏洞之后,约翰迪尔对它们进行了修补,阻止人们定制或修复他们的硬件。Sick Codes 表示,有人与他接触,对帮助公司填补系统漏洞感到不满。“如果你从不同的角度考虑,这有时就像反维修权,”他解释道。
所以今年,他说,他决定专注于硬件,展示食品供应链的脆弱性。
哦迪尔
维修网站 iFixit 的首席执行官兼维修权倡导者凯尔·维恩斯 (Kyle Wiens) 出席了演讲,并在 Twitter 帖子中讲述了这一经历。
“病态代码已经越狱了约翰迪尔,这仅仅是个开始,”他写道。“事实证明,我们的整个食品系统都是建立在带有 LTE 调制解调器的过时、未打补丁的 Linux 和 Windows CE 硬件之上的。”
维恩斯建议,拖拉机套件折衷方案将有助于让使用计算机的农业设备更容易被使用。
“约翰迪尔一再告诉监管机构,不能信任农民修理自己的设备,”维恩斯说。“这项基础性工作将为农民重新控制他们拥有的设备铺平道路。”
他还大声地想知道约翰迪尔是否遵守了 GPL 的条款,现在看来该公司将 GPL 代码纳入其产品中,但没有履行其源代码披露义务。
Sick Codes 证实他认为 John Deere 未能遵守其 GPL 义务。“我希望他们站出来解释他们是如何遵守规定的,”他说。
根据作者和活动家 Cory Doctorow 的说法,对开源许可问题进行法律执法的组织现在已经意识到John Deere 涉嫌违规。
多年来,约翰迪尔一直是维修权倡导者感到沮丧的根源,他们反对现在普遍使用数字安全控制来阻止产品所有者维修他们购买的设备。然而,最近,维修权立法在美国各州取得了进展,并得到了拜登政府的支持。欧盟和英国也对保护产品购买者的维修权表现出更大的兴趣。
今年 1 月,针对约翰迪尔公司的维修限制提起了两起诉讼,一起在伊利诺伊州,另一起在阿拉巴马州。接下来的一个月,美国众议院和参议院的立法者提出了单独的法案,以保证维修权。
然后在 3 月,在十几个倡导团体向 FTC 抱怨约翰迪尔拒绝提供维修其设备所需的软件和技术数据两周后,该公司表示将向客户和独立维修店提供以前受限的技术资源.
