鎖了也沒用！大眾免鑰系統(tǒng)被曝嚴(yán)重漏洞，波及1億輛汽車

本文作者：亞萌

2016-08-12 14:54

導(dǎo)語：英國伯明翰大學(xué)的一波研究人員與大眾汽車集團“杠上”了。

鎖了也沒用！大眾免鑰系統(tǒng)被曝嚴(yán)重漏洞，波及1億輛汽車

英國伯明翰大學(xué)的一波研究人員與大眾汽車集團“杠上”了。三年前，他們發(fā)現(xiàn)了大眾汽車啟動點火裝置的一個漏洞，被大眾起訴，被迫推遲研究成果發(fā)表。結(jié)果，這一團隊“越挫越勇”，本周再次披露了大眾汽車免鑰入車系統(tǒng)的重大漏洞，波及全球1億輛汽車，令人咂舌。

鎖了也白鎖：兩種攻擊

2013年，英國伯明翰大學(xué)（University of Birmingham）的計算機科學(xué)家Flavio Garcia和他的同事一起發(fā)現(xiàn)了德國大眾汽車的啟動點火裝置的一個重大漏洞：通過該漏洞，數(shù)百萬的大眾汽車可以被遠程啟動，在不需要車鑰匙啟動的情況下，就可以開出去。但是當(dāng)時研究團隊遭遇了來自大眾的訴訟，研究成果和漏洞披露的發(fā)表被迫推遲了2年，最終于2015年公布。

但這一經(jīng)歷并沒有挫減Garcia團隊的銳氣，相反，他們更加深入地展開對大眾汽車缺陷的研究。現(xiàn)在，他們又抓住了大眾汽車另一個弱點：不僅是點火裝置存在缺陷，其免鑰入車系統(tǒng)也存在重大漏洞。而且，這一漏洞涉及范圍之廣令人瞠舌：從1995年以來的出售的所有大眾汽車，也就是說，全球約1億臺大眾汽車的用戶都受到威脅。

鎖了也沒用！大眾免鑰系統(tǒng)被曝嚴(yán)重漏洞，波及1億輛汽車

Flavio Garcia，圖片來自其個人官方主頁

近日，在美國德州奧斯汀舉行的Usenix安全大會上，Garcia帶領(lǐng)另外3名英國伯明翰大學(xué)的研究人員，發(fā)表了針對這一漏洞的論文，名為《鎖了也白鎖--關(guān)于汽車遙控免鑰入車系統(tǒng)安全的研究》（Lock It and Still Lose It – On the (In)Security of Automotive Remote Keyless Entry Systems），給予大眾一記重拳。感興趣的朋友可點擊此處查看論文原文。

論文中描述了兩種免鑰入車系統(tǒng)的漏洞，第一種是針對大眾汽車品牌，波及到20年來大眾售出的每一輛汽車，包括奧迪、斯柯達等。第二種是一個名為“Hitag2”的密碼系統(tǒng)，涉及到多種汽車品牌，包括阿爾法·羅密歐（Alfa Romeo）、雪鐵龍、菲亞特、福特、三菱、日產(chǎn)、歐寶和標(biāo)致等。

針對兩種漏洞發(fā)出的攻擊原理都很簡明：使用一個無線裝置來截取車主鑰匙的信號，然后“克隆”出一把一模一樣的鑰匙即可。

同時兩種攻擊都不需要用到昂貴的設(shè)備，只需把電腦和無線截取信號的裝置連接；或是使用更小巧的“Arduino主板+無線電接收器”的工具包，這只要40美元就能買到。

鎖了也沒用！大眾免鑰系統(tǒng)被曝嚴(yán)重漏洞，波及1億輛汽車

價值40美元的Arduino無限接受裝置

加西亞說：“硬件成本很低，設(shè)計簡單，它的功能和原裝遙控幾乎一樣?！?/p>

一次竊聽、一億輛汽車

兩種攻擊中，針對大眾品牌汽車的漏洞更加棘手。因為正如伯明翰大學(xué)的David Oswald所言：“你只需要竊聽一次信號，就能夠克隆出車鑰匙，并且能多次開車、鎖車?！?/p>

大眾汽車的免鑰入車系統(tǒng)里包括兩種“密鑰值”，一種是幾百萬量車共享的，一種是每輛車獨有的。

首先，研究人員對大眾車內(nèi)網(wǎng)絡(luò)的一個組件進行了“繁瑣的逆向工程”，提取了這個“共享密鑰值”。然后，只需等待車主按下遙控鑰匙的按鈕，發(fā)出這輛車特有的密鑰值，研究人員通過前面提到的裝置攔截這個信號，從而獲得“獨有密鑰值”。兩相結(jié)合，就可以克隆出每一輛車的完整密鑰。

要想保證“竊聽”成功，無線竊聽裝置必須在距離車主90米范圍內(nèi)。并且，攻擊者必須要有正確的“共享密鑰值”。

在過去20年的時間里，大眾賣出的1億輛車中，最常用的只有4種密鑰。但是也有“例外”，比如高爾夫7以及使用了特定密鑰的車型，就能夠免于攻擊。

萬幸的是，研究人員并未在公開的論文中透露“共享密鑰”儲存在車輛的哪個部件中，以防居心叵測的人拿去偷車。