看了標題，你一定很好奇，世界上怎么有這么不怕死的男人對不對？

哦，沒關系，因為這兩個男人也是黑客。

但是，不要急著關，雷鋒網(wǎng)編輯真的不是標題黨。

因為，這個女黑客真的把自己的小汽車貢獻出來讓他的男同事做實驗。

她絕對不是吃素的——在 2015 年就在黑客盛會 DEFCON 上對無人機 GPS 進行了破解。也就是說，這個酷酷的女黑客真的可以操作兩下，對著天空一指，就能“打下”一架無人機。

這個女黑客名叫黃琳，是 360 無線安全研究院中的一員，而演示如何不用鑰匙就能開走她的車車的是團隊兩個小同事——年齡不詳?shù)粗苣贻p的王超然和出生于1997年的曾穎濤。

－－介紹完畢，“盜車”演示開始－－

車主黃琳出來逛街，把車停到一個咖啡店外，準備到 50 米外的咖啡店買杯咖啡，突然，閃出了一個“別有用心”的曾穎濤和他的“同伙”王超然。

曾穎濤和王超然早就看上了黃琳的車，想盜走黃琳的車出去約會小姐姐（此處，請假定他們是沒有同事情誼的陌生人）。

然后，他們開始下手了……

曾穎濤和王超然兩人各手持一個上圖中的裝備，曾穎濤負責排在黃琳身后，與她保持兩米或小于兩米的距離。

攜帶著這個工具（不是撬鎖工具，不要想太多）的王超然來到車旁，趁黃琳正在咖啡館排隊，當他手中工具指示燈亮起，隨即按下車門把手的感應按鈕，順利打開車門，并且發(fā)動了車子，并在一眾閃光燈面前表演了開車燈、前進、倒車……

倘若他要是想偷偷開走黃琳的車，是輕而易舉的。

要是圖片看的不過癮，直接看視頻吧：

－－演示結束，原理大揭秘－－

1.到底原理是怎么樣的啊喂？我很好奇。

無鑰匙開車，一般采用的是 RFID 無線射頻技術和車輛身份編碼識別系統(tǒng)。近距離時，車主不需要掏出鑰匙按遙控器來打開汽車，只需要按下車門把手上面的按鈕，汽車就會自動檢測鑰匙是否在旁邊并進行匹配認證，如果檢測成功，則允許打開車門。出于安全考慮，通常鑰匙感應距離在一米左右。

在這個實驗中，研究人員搭建了一個特殊“橋梁”，通過技術手段，將感應距離擴展到了上百米，鑰匙發(fā)出的無線電信號通過工具傳輸?shù)狡囯娔X，汽車電腦誤以為鑰匙就在旁邊，最終汽車信號和鑰匙被欺騙，允許無鑰匙開啟車門、開動汽車。

在這個過程中，曾穎濤手中的工具短暫地采集了黃琳身上車鑰匙的信號，然后把因為距離遙遠極弱的信號“放大”成正常信號傳遞給王超然手中的工具進行接收和處理，然后這個偽裝成“車鑰匙”的工具和被蒙在鼓里的汽車開始了正常通訊……

在整個過程中，記住，兩個工具并不是“信號放大器”，而是兩個小騙子，將弱信號偽裝成了正常信號與汽車“談情說愛”。

2.所有的車都能被這樣盜走嗎？

不 是

事實上，在演示過程中，剛開始看上去兩位盜車人沒有成功，楊卿說，因為在場圍觀的人太多，有可能擋住了兩個盜車人手中的工具交流信號。

這意味著，如果有較多遮擋物，可能影響兩個工具交流信號，從而影響最后的實驗效果。

但是，目前已經(jīng)有發(fā)現(xiàn)數(shù)個品牌車輛存在類似風險，他們都采用了某通信模塊設備公司的一種 RFID 技術通信協(xié)議解決方案，相同的風險可能會在使用此方案的多個品牌等幾十款車型存在。

3.車鑰匙用的是 RFID 的原理，你們也曾經(jīng)搞過 RFID 的破解，是不是可以拷貝車鑰匙的 RFID ，也就是說，“造出”一個車鑰匙，隨時開走別人的車？

楊卿：也有可能，汽車廠商對于自家車系統(tǒng)的安全性設計和預算投入之間有平衡，現(xiàn)在能拷貝車鑰匙的情況不是特別多。

我們經(jīng)常碰到拷貝車鑰匙的情況是是車商用自己的維修設備，在車主自己丟鑰匙的情況下進行拷貝。

從外部拷貝車鑰匙的難度還是有的，現(xiàn)在一些高端車的車鑰匙系統(tǒng)的芯片和主要安全方案還是比較有保證的。

今天這種攻擊其實屬于取巧（編者注：其實就是腦洞開得特別大），沒有破解車鑰匙，但把車鑰匙的信號延長，讓汽車以為車鑰匙就在車附近，就可以把車門打開。

4.剛才看著你們搞掉一輛車真的很輕松的樣子，事實上也這么輕松嗎？（其實是想問到底有沒有技術含量吧……汗……）

楊卿：首先，這項破解議題被今年的 BlackHat 會議收錄，我們在幾天后將在拉斯維加斯做演示。BlackHat 每年議題的投遞和入選率之比低于20%，這項技術和全球技術比較之后脫穎而出。

其次，這項技術對安全行業(yè)研究人員能力要求比較高，對無線層的安全研究能力綜合性要求比較強，要有基礎的安全知識，對射頻模塊要有調試能力，要自己動手做 PCB 的芯片設計、芯片選型，做出來后，要驗證，是很多技術領域綜合的成果。

在雷鋒網(wǎng)看來，一句話總結——其實這是一項很厲害的技術，不要看我們搞得這么輕松。

在實際情況中，其實這個團隊做了很多次試驗，來解決可能因為兩個工具處理信號與互相通訊造成的延時問題。

一開始，延時5 納秒或幾納秒，汽車就能判斷這個信號不是我家真鑰匙，而是其他妖艷賤貨。

安全研究人員通過大量測試+驗證，換了不少芯片后，最后才實現(xiàn)了這兩個工具能在有效時間周期內，把真車鑰匙的信號傳給汽車，被汽車接納。

楊卿說，每次買芯片都挺貴的，還要做，比如改板子，發(fā)到工廠那兒，工廠還要生產(chǎn)出來，按安全行業(yè)高工資的研究員的月薪來算，這個事兒要半年時間才能做出來，雖然整體工具成本才幾百元……

人家是很貴的！

5.現(xiàn)在這個漏洞補上了嗎？

楊卿：一般涉及硬件類的漏洞修復周期挺長。先通過關注度高的安全會議做演示，演示發(fā)出時我們也和主流廠商說，他們驗證之后自己也會設計更安全的系統(tǒng)。

但是，汽車類生產(chǎn)從設計到把車做出來，跑過所有測試基本都要5年左右的時間，但驗證模塊可以在一年或半年內完成，但它需要修復成本，比如把車召回或者直接通過升級把系統(tǒng)換掉才能解決這個事情。

一般修復成本比較高，除非這個廠商是做的是車聯(lián)網(wǎng)汽車，設計系統(tǒng)之初建立了良好的升級體系，比如OTA，將來出現(xiàn)任何問題，所有的預算都是軟件化的，一提漏洞，就能快速升級blabla……

到底有沒有？

其實，就是還沒有。

6.這么危險？那么我怎么保護自己的車不被這種技術盜走？（說得我好像有車一樣）

車主防范攻擊，可以把車鑰匙放在錫紙做的盒子里，采用信號屏蔽的方式，但這樣非常不便于日常使用，所以最根本的解決辦法是此類生產(chǎn)通信模塊的公司對通信協(xié)議進行完善，360已通報相關廠商進行技術升級，為廣大車主消除安全隱患。在下周的BlackHat上展示這項研究成果被展示后，完整解決方案也將同步公布。

廠商不要哭，乖，還有幾天。

最后，雷鋒網(wǎng)編輯鳴謝一直站得很有范的360無線安全研究院負責人楊卿的講解。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權禁止轉載。詳情見轉載須知。