來源:量子位
作者:賈浩楠 木易
一輛售價80-90萬的特斯拉Model X,只用2000塊就能開走???
這不是特斯拉在搞什麽購車金融方案,而是比利時魯汶大學的研究人員攻破了高端車型Model X的安全漏洞!
他們只用2000元左右,拿樹莓派電腦DIY了一個「車鑰匙」,90秒打開車門,不到幾分鍾,就能把車開走了。
無鑰匙進入,真正變成了字面意義上的「無鑰匙進入」。
那麽,問題出在哪里?特斯拉自己又是怎麽解釋的?
第一個漏洞:怎麽進入汽車?
復製這把車鑰匙的方法,就是偷偷坐在你旁邊。當你和朋友談笑風生的時候,你的車鑰匙已經在神不知鬼不覺中被復製了。
這是攻擊者在演示如何接近車主,在近距離(15米內)中,用自己在網上購買的車身控製模塊(BCM)去喚醒車主智能鑰匙的藍牙。
現實中,黑客當然不可能手捧著開發板從你旁邊招搖走過,但是把它藏在背包里是完全沒問題的。
攻擊者需要先從目標汽車的擋風玻璃上讀取了一串數字:車輛識別號的最後五位數字。
通過這串數字,攻擊者便可以為他們的盜版BCM創建一個代碼,用於證明其身份。
相當於「再造」一個車機系統。
然後,拿著這一套克隆BCM,喚醒靠近的車鑰匙,執行下一步的破解步驟。
而這一步的關鍵,就是重寫車主鑰匙上的固件程序。
Model X的密鑰卡,通過藍牙與Model X內部的計算機連接,然後無線接收固件更新。
但是,這其中存在一個重大漏洞:Model X密鑰的固件更新缺乏加密簽名,以證明更新固件更新來源的安全性。
通俗來說,就是證明更新來源是官方的、安全的,而Model X的車鑰匙並不具備驗證這一步。
所以黑客記錄下擋風玻璃的後五位數,就能把樹莓派偽裝成Model X,誘騙你的車鑰匙更新固件。
這個固件是黑客鏡像設計的,它可以查詢車鑰匙里的安全芯片,為車輛生成解鎖代碼。
於是,攻擊者便非常順利地通過藍牙,連接上目標車輛的密鑰卡,重寫固件。
當固件被更新為攻擊者的版本後,便可以用它來查詢密鑰卡內的安全芯片(secure enclave chip)。
取得解鎖代碼之後,通過藍牙將代碼發送回你的車,就這樣「門戶大開」了。
整個過程,只需要90秒,是不是有「諜戰大片」那味了。
第二個漏洞:怎麽啟動汽車?
坐進車里,「偷車」只算完成了一半。
將特斯拉Model X啟動並開走,還需要一些「體力活」。
上一步重寫鑰匙固件、破解安全芯片的方式,相當於用DIY主板上的藍牙裝置,復製了一把鑰匙,目的是破解車門。
現在要做的就是讓真正的車機系統認可這把假鑰匙,從而啟動車輛。
首先是拆下車內的屏幕下方的儲物盒,在操作台內部有一個接口(物理接口),直接連接到車輛控製系統的核心部分,即CAN總線,其中包括了車輛本身的BCM。
把DIY電腦直接插在接口上,就可以直接向車輛本身的BCM發送指令。
發送的指令,是讓車輛本身的電腦跟黑客自己生成的鑰匙匹配,這樣就能輕鬆的啟動車輛。
問題出在哪里呢?DIY生成的的假鑰匙,為什麽毫無障礙的就匹配上了車載系統?
其實,特斯拉的車鑰匙上本來是帶有獨特的密碼證書,以此來驗證真實性。
但是,車上的BCM從頭到尾都沒有檢查過證書。
手腳利索的老哥,從拆儲物盒到開走汽車,也就幾分鍾時間。
這不是第一次了
而這,已經不是特斯拉第一次在無線密鑰上被攻破了。
之前,特斯拉Model S也在密鑰問題上被研究人員攻破過。
先前的特斯拉Model S,是基於加密的密鑰卡代碼來控製車內設備,觸發解鎖並禁用其防盜鎖。
2017年夏天,來自KU Leuven的研究團隊發現:由一家名為Pektron的製造商所生產的特斯拉Model S無線密鑰卡,只使用了一個弱的40位密碼進行加密。
研究人員發現,一旦他們從任何給定的密鑰卡中獲得了兩個代碼,他們就可以以此類推進行嚐試猜測,直到找到解鎖汽車的密鑰。
之後,他們計算可能組合,並整理成表。
有了這張表和這兩個代碼,研究者表示,他們可以在1.6秒內找到正確的密鑰來「偷」你的車。
研究人員在2017年8月將漏洞的研究發現告訴給了特斯拉。特斯拉對他們的研究表示了感謝,並向他們支付了10000美元的「賞金」。
但是,直到2018年下半年的加密升級和添加PIN碼,這個加密隱患才得以解決。
特斯拉怎麽說?
魯汶大學的研究人員已於今年8月17號通知了特斯拉公司該安全問題,特斯拉在確認安全漏洞之後已經開始著手對安全漏洞進行修復。
本周開始,特斯拉將著手進行漏洞的更新修補推送。
這些措施包括兩個方面,一是車鑰匙本身對於固件更新的來源驗證。
第二部分是車輛BCM對鑰匙安全證書的漏檢問題修復。
這些更新會在一個月內陸續覆蓋所有有風險的車型。
發現了此漏洞的研究人員說,特斯拉的無鑰匙進入技術與其他車相比,並沒本質區別。
都是用低頻無線電波(NFC)發送或接受解鎖碼來解鎖車輛。
特斯拉的獨特之處,在於設計了能讓車鑰匙固件接受OTA更新的藍牙部分。
正式在OTA這個節點上的安全漏洞,讓黑客可以輕鬆改寫固件,從而獲取訪問底層安全芯片的權限,生成對應解鎖碼。
而在啟動階段,也缺乏對無線射頻信號來源的有效身份核驗。
同時,在鏈接車輛控製模塊的物理接口上,特斯拉做的,也未免太隨意了。
那麽,沒有藍牙OTA環節的無鑰匙進入,就沒有風險嗎?
也不是。
此前,特斯拉安全部門曾表示,NFC中繼攻擊,幾乎是無解的。
這種方法簡單粗暴,就是在一定範圍內放大車鑰匙的NFC信號,從而解鎖和啟動車輛。
所以,不光是特斯拉,所有采用NFC無鑰匙進入技術的車型,都面臨風險。
以後,還能放心使用無鑰匙進入嗎?
編輯/Phoebe