英國(guó)伯明翰大學(xué)的一波研究人員與大眾汽車集團(tuán)“杠上”了。三年前，他們發(fā)現(xiàn)了大眾汽車啟動(dòng)點(diǎn)火裝置的一個(gè)漏洞，被大眾起訴，被迫推遲研究成果發(fā)表。結(jié)果，這一團(tuán)隊(duì)“越挫越勇”，本周再次披露了大眾汽車免鑰入車系統(tǒng)的重大漏洞，波及全球1億輛汽車，令人咂舌。

鎖了也白鎖：兩種攻擊

2013年，英國(guó)伯明翰大學(xué)（University of Birmingham）的計(jì)算機(jī)科學(xué)家Flavio Garcia和他的同事一起發(fā)現(xiàn)了德國(guó)大眾汽車的啟動(dòng)點(diǎn)火裝置的一個(gè)重大漏洞：通過(guò)該漏洞，數(shù)百萬(wàn)的大眾汽車可以被遠(yuǎn)程啟動(dòng)，在不需要車鑰匙啟動(dòng)的情況下，就可以開(kāi)出去。但是當(dāng)時(shí)研究團(tuán)隊(duì)遭遇了來(lái)自大眾的訴訟，研究成果和漏洞披露的發(fā)表被迫推遲了2年，最終于2015年公布。

但這一經(jīng)歷并沒(méi)有挫減Garcia團(tuán)隊(duì)的銳氣，相反，他們更加深入地展開(kāi)對(duì)大眾汽車缺陷的研究。現(xiàn)在，他們又抓住了大眾汽車另一個(gè)弱點(diǎn)：不僅是點(diǎn)火裝置存在缺陷，其免鑰入車系統(tǒng)也存在重大漏洞。而且，這一漏洞涉及范圍之廣令人瞠舌：從1995年以來(lái)的出售的所有大眾汽車，也就是說(shuō)，全球約1億臺(tái)大眾汽車的用戶都受到威脅。

Flavio Garcia，圖片來(lái)自其個(gè)人官方主頁(yè)

近日，在美國(guó)德州奧斯汀舉行的Usenix安全大會(huì)上，Garcia帶領(lǐng)另外3名英國(guó)伯明翰大學(xué)的研究人員，發(fā)表了針對(duì)這一漏洞的論文，名為《鎖了也白鎖--關(guān)于汽車遙控免鑰入車系統(tǒng)安全的研究》（Lock It and Still Lose It – On the (In)Security of Automotive Remote Keyless Entry Systems），給予大眾一記重拳。感興趣的朋友可點(diǎn)擊此處查看論文原文。

論文中描述了兩種免鑰入車系統(tǒng)的漏洞，第一種是針對(duì)大眾汽車品牌，波及到20年來(lái)大眾售出的每一輛汽車，包括奧迪、斯柯達(dá)等。第二種是一個(gè)名為“Hitag2”的密碼系統(tǒng)，涉及到多種汽車品牌，包括阿爾法·羅密歐（Alfa Romeo）、雪鐵龍、菲亞特、福特、三菱、日產(chǎn)、歐寶和標(biāo)致等。

針對(duì)兩種漏洞發(fā)出的攻擊原理都很簡(jiǎn)明：使用一個(gè)無(wú)線裝置來(lái)截取車主鑰匙的信號(hào)，然后“克隆”出一把一模一樣的鑰匙即可。

同時(shí)兩種攻擊都不需要用到昂貴的設(shè)備，只需把電腦和無(wú)線截取信號(hào)的裝置連接；或是使用更小巧的“Arduino主板+無(wú)線電接收器”的工具包，這只要40美元就能買到。

價(jià)值40美元的Arduino無(wú)限接受裝置

加西亞說(shuō)：“硬件成本很低，設(shè)計(jì)簡(jiǎn)單，它的功能和原裝遙控幾乎一樣?！?/p>

一次竊聽(tīng)、一億輛汽車

兩種攻擊中，針對(duì)大眾品牌汽車的漏洞更加棘手。因?yàn)檎绮骱泊髮W(xué)的David Oswald所言：“你只需要竊聽(tīng)一次信號(hào)，就能夠克隆出車鑰匙，并且能多次開(kāi)車、鎖車?！?/p>

大眾汽車的免鑰入車系統(tǒng)里包括兩種“密鑰值”，一種是幾百萬(wàn)量車共享的，一種是每輛車獨(dú)有的。

首先，研究人員對(duì)大眾車內(nèi)網(wǎng)絡(luò)的一個(gè)組件進(jìn)行了“繁瑣的逆向工程”，提取了這個(gè)“共享密鑰值”。然后，只需等待車主按下遙控鑰匙的按鈕，發(fā)出這輛車特有的密鑰值，研究人員通過(guò)前面提到的裝置攔截這個(gè)信號(hào)，從而獲得“獨(dú)有密鑰值”。兩相結(jié)合，就可以克隆出每一輛車的完整密鑰。

要想保證“竊聽(tīng)”成功，無(wú)線竊聽(tīng)裝置必須在距離車主90米范圍內(nèi)。并且，攻擊者必須要有正確的“共享密鑰值”。

在過(guò)去20年的時(shí)間里，大眾賣出的1億輛車中，最常用的只有4種密鑰。但是也有“例外”，比如高爾夫7以及使用了特定密鑰的車型，就能夠免于攻擊。

萬(wàn)幸的是，研究人員并未在公開(kāi)的論文中透露“共享密鑰”儲(chǔ)存在車輛的哪個(gè)部件中，以防居心叵測(cè)的人拿去偷車。

60秒攻破一輛車

另外對(duì)于Hitag2密碼系統(tǒng)，這種攻擊方法不需要提取我們前面提到的“共享密鑰”，但同樣以竊聽(tīng)的方式截取車主鑰匙發(fā)出的8位編碼。HiTag2加密方案存在的漏洞可以讓研究人員在一分鐘內(nèi)攻破一輛車。

在發(fā)現(xiàn)漏洞后，這群研究人員給大眾寫(xiě)了一封信，告知了漏洞的存在。關(guān)于這件事，大眾方面并未給出任何回復(fù)。

芯片供應(yīng)商恩智浦的發(fā)言人Joon Knapen說(shuō)：“HiTag2是我們18年前使用的加密算法，已經(jīng)很古老了。從2009年開(kāi)始，我們就更換了更先進(jìn)的加密算法。并且我們幾年前就開(kāi)始建議我們的客戶，不要在新項(xiàng)目中再使用HT2加密算法。”

不過(guò)在論文最后，研究人員對(duì)廣大車主提出了暫時(shí)的解決辦法：如果車內(nèi)有貴重物品的話，建議停止使用免鑰入車系統(tǒng)或者干脆將這個(gè)系統(tǒng)移除，代之使用傳統(tǒng)的機(jī)械鎖。

Via The Wired

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。