Предлагаемое производителем обновление прошивки к IVI-системе поставлялось в zip-файле, зашифрованном паролем, а содержимое самой прошивки было зашифровано при помощи алгоритма AES-CBC и заверено цифровой подписью на основе ключей RSA. Пароль от zip-архива и AES-ключ для расшифровки образа updateboot.img удалось найти в скрипте linux_envsetup.sh, который в открытом виде присутствовал в пакете system_package с открытыми компонентами ОС D-Audio2V, распространяемом на сайте производителя IVI-системы.
Тем не менее для модификации прошивки не хватало закрытого ключа, применяемого для заверения по цифровой подписи. Примечательно, что RSA-ключ помогла найти поисковая система Google. Исследователь отправил поисковый запрос, указав ранее найденный AES-ключ и натолкнулся на то, что ключ не является уникальным и упоминается в документе NIST SP800-38A. Рассудив, что похожим образом заимствован и RSA-ключ исследователь нашёл в сопровождающем прошивку коде открытый ключ и попытался найти по нему информацию в Google. Запрос показал, что указанный открытый ключ упоминается в примере из руководства по использованию OpenSSL, в котором также указан и закрытый ключ.
Получив необходимые ключи исследователь смог внести изменения в прошивку и добавить бэкдор, дающий возможность удалённо подключиться к программной оболочке системного окружения IVI-устройства, а также интегрирвать дополнительные приложения в прошивку.
Источник: http://www.opennet.ru/opennews/art.shtml?num=57648