如果有什么能被黑客兄弟們視為“圣物”，前仆后繼，挖洞不止，特斯拉一定算一個(gè)。

一直拿整車 OTA （空中下載技術(shù)）當(dāng)一大賣點(diǎn)的特斯拉在防御這些“天殺的”黑客攻擊上做了大量創(chuàng)新，不但雇傭了大量頂尖安全工程師，為車輛加入了代碼完整性檢查，旗下車型的駕駛系統(tǒng)也可以說(shuō)是武裝到了牙齒。

不過(guò)，百密總有一疏，一個(gè)“學(xué)院派”黑客團(tuán)隊(duì)最近就發(fā)現(xiàn)了 Model S 的漏洞，他們能在短時(shí)間內(nèi)秘密克隆車輛遙控鑰匙，隨后輕松打開車門將這款百萬(wàn)電動(dòng)豪華轎跑開走。

這個(gè)“學(xué)院派”黑客團(tuán)隊(duì)來(lái)自比利時(shí) KU Leuven 大學(xué)，本周一在阿姆斯特丹，他們?cè)诿艽a硬件和嵌入式系統(tǒng)大會(huì)上發(fā)表了一篇論文，講述自己如何攻破特斯拉 Model S 遙控鑰匙中的加密方案。

整個(gè)破解過(guò)程只需準(zhǔn)備大約 600 美元（約合 4120 員）的無(wú)線電和計(jì)算設(shè)備，研究人員可以通過(guò)這些設(shè)備截獲并讀取附近 Model S 用戶遙控鑰匙發(fā)出的信號(hào)。隨后就是不超過(guò) 2 秒鐘的計(jì)算時(shí)間，遙控鑰匙的密匙就能傳到研發(fā)人員手上了。下一步就是開車走人，這樣“偷”車不會(huì)留下半點(diǎn)蹤跡。

“幾秒之內(nèi)我們就能克隆這些遙控鑰匙?！?nbsp;Lennert Wouters 說(shuō)道，他也是“學(xué)院派”黑客之一?！拔覀兛梢酝昝缽?fù)制 Model S 的遙控鑰匙并大搖大擺的打開車門將車開走?！?/p>

兩周前，特斯拉剛剛為 Model S 推送了新的防盜功能。用戶能設(shè)定 PIN 碼，偷車賊必須激活中控屏才能將車順利開走。此外，特斯拉還表示，今年 6 月后售出的 Model S 根本不受該攻擊影響，它們對(duì)車輛遙控鑰匙的加密系統(tǒng)進(jìn)行了針對(duì)性升級(jí)。

不過(guò)，老車主可倒霉了，他們要想防盜，要么打開屏幕 PIN 碼，要么就掏錢更換加密性能更強(qiáng)的遙控鑰匙。

王國(guó)的鑰匙

與大多數(shù)無(wú)鑰匙進(jìn)入系統(tǒng)一樣，特斯拉 Model S 的遙控鑰匙會(huì)向車輛發(fā)送一串加密代碼以解鎖車輛，這也給 KU Leuven 的團(tuán)隊(duì)留了機(jī)會(huì)。

只是想完成這個(gè)浩大的工程并不容易，“學(xué)院派“黑客們斷斷續(xù)續(xù)搞了 9 個(gè)月的逆向工程，才在去年夏天發(fā)現(xiàn)特斯拉 Model S 的無(wú)鑰匙進(jìn)入系統(tǒng)來(lái)自名為 Pektron 的制造商，這套系統(tǒng)只用了個(gè)超弱的 40-bit 密碼來(lái)加密鑰匙代碼。

研究人員發(fā)現(xiàn)，只要他們能從鑰匙上拿到兩組代碼，就能嘗試所有可能的密匙，直到發(fā)現(xiàn)能解鎖車輛的那把鑰匙。隨后，他們會(huì)對(duì)所有可能的密匙進(jìn)行計(jì)算以制作一個(gè)龐大的 6TB 預(yù)計(jì)算密匙表。有了這張表和兩個(gè)配上對(duì)的代碼，他們就能在 1.6 秒內(nèi)用正確的密匙打開 Model S。

在概念驗(yàn)證攻擊中，研究人員展示了自己的無(wú)鑰匙系統(tǒng)黑客套件，其中包括一臺(tái) Yard Stick One 無(wú)線電，一臺(tái) Proxmark 無(wú)線電，一臺(tái)樹莓派微型電腦和硬盤上的預(yù)計(jì)算密匙表。當(dāng)然，這個(gè)套件也少不了一些供電用的電池。

首先，這幫“學(xué)院派”黑客會(huì)用 Proxmark 無(wú)線電來(lái)解惑目標(biāo)車輛的無(wú)線電 ID，這一步他們根本無(wú)需接觸車輛，因?yàn)?Model S 會(huì)不間斷的向外廣播自己的無(wú)線電 ID。下一步就稍難了一些，黑客需要將無(wú)線電設(shè)備放在據(jù)目標(biāo)鑰匙三英尺（1 米以內(nèi)）以內(nèi)，隨后用車輛的無(wú)線電 ID 來(lái)“套”遙控鑰匙的回應(yīng)代碼。這一步他們重復(fù)了兩次就搞定了，遙控鑰匙乖乖就發(fā)回了代碼。接著，他們會(huì)通過(guò)硬盤里的密匙表來(lái)搜尋密匙，隨后順利解鎖 Model S。

在研究人員看來(lái)，這個(gè)攻擊鏈條能打通主要就是因?yàn)?Pektron 的無(wú)鑰匙進(jìn)入系統(tǒng)加密太弱?！疤厮估x擇這牌子的系統(tǒng)真是犯了大錯(cuò)?！毖芯咳藛T Tomer Ashur 說(shuō)道?！坝行┤税咽虑楦阍伊?，而且是通了個(gè)大簍子?！?/p>

作為有節(jié)操的“學(xué)院派”黑客，KU Leuven 團(tuán)隊(duì)其實(shí) 2017 年 8 月就將這個(gè)問題反映給了特斯拉，特斯拉還給他們發(fā)了 1 萬(wàn)美元的獎(jiǎng)金。不過(guò)，直到今年 6 月的加密升級(jí)包推送，特斯拉才給 Model S 又上了把鎖。

在一份聲明中，特斯拉解釋了升級(jí)包姍姍來(lái)遲的原因。它們表示，公司其實(shí)已經(jīng)進(jìn)了最大努力，漏洞修補(bǔ)是個(gè)麻煩事，特斯拉必須先確認(rèn)研究者的方法是否可行，隨后對(duì)升級(jí)包進(jìn)行測(cè)試，最終還要整合進(jìn)它們的制造工藝中。

“現(xiàn)在攻擊被動(dòng)進(jìn)入系統(tǒng)的方法越來(lái)越多，特斯拉也在不斷努力防止用戶車輛被非法侵入?！碧厮估l(fā)言人在聲明中寫道?！矮@知這種攻擊方法后，我們就與供應(yīng)商合作加強(qiáng)了 Model S 遙控鑰匙的安全性。”除此之外，特斯拉還表示，用戶能通過(guò)手機(jī)追蹤自己的車，因此車輛沒那么容易被盜。

除了特斯拉，研究人員還相信，他們的攻擊方法照樣能搞定邁凱倫和 Karma 的車輛，即使是凱旋的摩托車也不在話下，因?yàn)樗鼈兌加昧?Pektron 的遙控鑰匙系統(tǒng)。不過(guò)，這些“學(xué)院派”黑客們沒興趣再去搞測(cè)試了。（邁凱倫 Karma：不想說(shuō)話；特斯拉：呵呵）

邁凱倫表示它們還在調(diào)查該問題，但已經(jīng)將風(fēng)險(xiǎn)告知用戶，而且還提供了“信號(hào)阻斷鑰匙袋”，在不用車時(shí)保證車輛安全。其他兩家廠商則拒絕對(duì)此事發(fā)表評(píng)論。

放在信號(hào)阻斷袋里只是權(quán)宜之計(jì)，未來(lái)這些廠商將如何修復(fù)這一 Bug 還是個(gè)未知數(shù)。要就人員推測(cè)，要想徹底解決問題，廠商只能選擇為用戶更換遙控鑰匙并推送軟件升級(jí)。不過(guò)，這些廠商可玩不了 OTA 升級(jí)，因此大召回恐怕難以避免。

警告信號(hào)

KU Leuven 團(tuán)隊(duì)認(rèn)為，這一發(fā)現(xiàn)為特斯拉和其它制造商敲響了警鐘。他們也提醒 Model S 用戶趕緊打開 PIN 碼防護(hù)，否則可能會(huì)遭遇真人版“俠盜獵車手”。Ashur 還警告道，“這個(gè)問題就擺在那，而我們恐怕不是世界上唯一掌握這項(xiàng)技術(shù)的人?！?/strong>

多年以來(lái)，黑客們前赴后繼的對(duì)無(wú)鑰匙進(jìn)入系統(tǒng)發(fā)動(dòng)“中繼”攻擊。有時(shí)黑客會(huì)放大遙控鑰匙的無(wú)線電信號(hào)，有時(shí)則會(huì)通過(guò)兩個(gè)距離較近的無(wú)線電設(shè)備將車輛和遙控鑰匙橋接在一起。這些中繼攻擊已經(jīng)是偷車賊們的拿手好戲，但到底每年有多少車輛因此被盜，現(xiàn)在還是筆糊涂賬。即使沒有 KU Leuven 團(tuán)隊(duì)的發(fā)現(xiàn)，愈演愈烈的中繼攻擊恐怕也會(huì)逼迫特斯拉加入 PIN 碼驗(yàn)證的加密方式。

不過(guò)，普通的中繼攻擊效果還是弱了點(diǎn)，它們只能欺騙無(wú)鑰匙進(jìn)入系統(tǒng)一次，即使將車盜走，如果不破壞防盜系統(tǒng)，下次也啟動(dòng)不了。相比之下，KU Leuven 團(tuán)隊(duì)的攻擊方法更狠，它們能永久性的克隆車輛鑰匙。

既然這種攻擊方案已經(jīng)大白于天下，特斯拉 Model S 車主可得抓緊升級(jí)系統(tǒng)了。雖然在屏幕上輸入 4 位密碼才能啟動(dòng)車輛相當(dāng)麻煩，但這也比取車時(shí)看到空空的車位好吧。

雷鋒網(wǎng)Via. Wired

雷鋒網(wǎng)宅客頻道（微信公眾號(hào)：letshome），專注先鋒技術(shù)，講述黑客背后的故事，歡迎關(guān)注雷鋒網(wǎng)宅客頻道。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。