一個(gè)偷車(chē)賊想要偷走你新買(mǎi)的特斯拉 Model X 需要多久？

答案是 3 分鐘之內(nèi)。

你可能覺(jué)得這根本不可能實(shí)現(xiàn)，但實(shí)際上，在黑客眼里，這簡(jiǎn)直是小兒科。

11 月 24 日消息，據(jù)外媒報(bào)道，一位安全研究人員展示了特斯拉 Model X 無(wú)鑰匙進(jìn)入系統(tǒng)中存在的嚴(yán)重漏洞：

黑客可以通過(guò)這一漏洞利用藍(lán)牙連接重寫(xiě)車(chē)輛鑰匙卡的固件，從鑰匙卡上獲取車(chē)輛解鎖代碼，并在幾分鐘內(nèi)用它竊取一輛 Model X。

任何試圖讀取電動(dòng)車(chē)識(shí)別號(hào)（通常通過(guò)擋風(fēng)玻璃在電動(dòng)車(chē)儀表板上可見(jiàn)）的偷車(chē)賊都可以利用這些漏洞，而且這些漏洞距離受害者的鑰匙鏈約 15 英尺（約合 4.57 米），并且實(shí)施這一偷車(chē)計(jì)劃所需的硬件套件僅僅花費(fèi) 300 美元。

這有點(diǎn)厲害。

背后原理是什么？

據(jù)雷鋒網(wǎng)了解，這種“中繼攻擊”是歐美地區(qū)的特斯拉大盜們慣用的伎倆，很多車(chē)主都深受其害。

那么，這一偷竊的原理是什么呢？

安全研究人員 Lennert Wouters 發(fā)現(xiàn) Model X 的密鑰缺乏所謂的固件更新“代碼簽名”（code signing）。

代碼簽名（code signing）即軟件開(kāi)發(fā)商能對(duì)其軟件代碼進(jìn)行的數(shù)字簽名。用戶(hù)可以通過(guò)代碼簽名服務(wù)鑒別軟件的發(fā)布者及軟件在傳輸過(guò)程中是否被篡改。

特斯拉設(shè)計(jì)了 Model X 密鑰卡，通過(guò)無(wú)線連接到 Model X 內(nèi)部的計(jì)算機(jī)，通過(guò)藍(lán)牙接收無(wú)線固件更新，但沒(méi)有確認(rèn)新的固件代碼有特斯拉的不可偽造的加密簽名。

也就是說(shuō)，正是這一缺陷給了偷竊者可乘之機(jī)。

于是，安全人員嘗試使用自己的帶有藍(lán)牙無(wú)線電的計(jì)算機(jī)連接到目標(biāo) Model X 的密鑰卡，重寫(xiě)固件，并使用它來(lái)查詢(xún)密鑰卡內(nèi)為車(chē)輛生成解鎖代碼的安全芯片。

但這并不是很容易。因?yàn)?Model X 智能鑰匙的藍(lán)牙無(wú)線電只有在智能鑰匙的電池取出再放入時(shí)才會(huì)“喚醒”幾秒鐘。

不過(guò)，Model X 內(nèi)負(fù)責(zé)無(wú)鑰匙進(jìn)入系統(tǒng)的計(jì)算機(jī)有一個(gè)被稱(chēng)為車(chē)身控制模塊（BCM）的組件，也可以執(zhí)行藍(lán)牙喚醒命令。

BCM 是一種嵌入式系統(tǒng)，可控制負(fù)載驅(qū)動(dòng)器并協(xié)調(diào)汽車(chē)電子單元的激活。

集成到 BCM 中的微控制器和連接器構(gòu)成了負(fù)責(zé)控制部分的系統(tǒng)的中央結(jié)構(gòu)單元。操作數(shù)據(jù)通過(guò)輸入設(shè)備傳輸?shù)娇刂颇K。

在模塊處理數(shù)據(jù)之后，通過(guò)集成輸出設(shè)備（包括繼電器和螺線管）生成響應(yīng)信號(hào)。通過(guò)輸出設(shè)備系統(tǒng)，BCM 協(xié)調(diào)各種電子系統(tǒng)的工作。

通過(guò)在 eBay 上以 50 到 100 美元的價(jià)格購(gòu)買(mǎi) Model X 的 BCM，就可以欺騙發(fā)送到密鑰卡的低頻無(wú)線電信號(hào)。(雖然最初的喚醒命令必須從大約 15 米的近距離無(wú)線電范圍發(fā)送，但如果受害者在戶(hù)外，固件更新技巧的其余部分可以在數(shù)百英尺外執(zhí)行。)

此外，BCM 從電動(dòng)車(chē)的車(chē)輛識(shí)別號(hào)的最后五位數(shù)字中獲得了用于證明其身份的唯一代碼。黑客可以從目標(biāo)電動(dòng)車(chē)的擋風(fēng)玻璃上讀取這些數(shù)字，然后用它為他們的盜版 BCM 創(chuàng)建一個(gè)代碼，這一過(guò)程僅僅只要 90 秒。

完成了這些，此時(shí)，黑客已經(jīng)可以解鎖你的 Model X  了。

那么，如何開(kāi)走你的車(chē)呢？

安全研究人員也進(jìn)行了進(jìn)一步的實(shí)驗(yàn)。

首先，解鎖 Model X 之后，該安全研究人員將自己的電腦插入一個(gè)端口（該端口允許計(jì)算機(jī)向電動(dòng)車(chē)內(nèi)部組件網(wǎng)絡(luò)發(fā)送命令，該網(wǎng)絡(luò)被稱(chēng)為 CAN 總線，包括 BCM），這個(gè)端口可以通過(guò)顯示屏下的一個(gè)小面板進(jìn)入，并且只需要幾秒鐘，不需要工具，只需要在儀表板上拉出一個(gè)小的儲(chǔ)存容器。

而在這個(gè)過(guò)程中，安全研究人員也發(fā)現(xiàn) BCM 實(shí)際上沒(méi)有檢查該證書(shū)的真?zhèn)?，這也就意味著黑客在偽造假鑰匙之后，只要通過(guò) BCM 的驗(yàn)證，就可以把車(chē)開(kāi)走了。

安全研究人員也展示了完成這一攻擊的工具包：包括一臺(tái)樹(shù)莓派（Raspberry Pi）小型計(jì)算機(jī)、一臺(tái)二手Model X BCM、一個(gè)密鑰卡、一個(gè)電源轉(zhuǎn)換器和一個(gè)電池。

整個(gè)工具包可以從背包里發(fā)送和接收所有必要的無(wú)線電命令，花費(fèi)不到 300 美元。

對(duì)此，特斯拉也緊急回應(yīng)這個(gè)補(bǔ)丁可能需要近一個(gè)月的時(shí)間才能在所有易受攻擊的汽車(chē)上推出，所以 Model X 車(chē)主應(yīng)該確保在未來(lái)幾周安裝特斯拉提供的任何更新，以防止黑客入侵。

特斯拉的安全問(wèn)題不是一天兩天了

這項(xiàng)研究的重要性在于揭示了對(duì)車(chē)輛的端到端的實(shí)際攻擊。

需要注意的是，這并不是 Lennert Wouters 第一次披露特斯拉無(wú)鑰匙進(jìn)入系統(tǒng)的漏洞。他已經(jīng)在特斯拉Model S無(wú)鑰匙進(jìn)入系統(tǒng)中發(fā)現(xiàn)了兩次密碼漏洞，這些系統(tǒng)同樣允許基于無(wú)線電的電動(dòng)車(chē)盜竊。他認(rèn)為特斯拉的無(wú)鑰匙進(jìn)入安全方法沒(méi)有什么特別獨(dú)特的地方。類(lèi)似的系統(tǒng)可能同樣脆弱。

而就在 Model X 被曝安全漏洞之前，一段有關(guān)特斯拉的視頻在網(wǎng)絡(luò)上引發(fā)討論。視頻中，拍攝者的行車(chē)記錄儀記錄下了前面一輛特斯拉天窗被掀飛的畫(huà)面，這塊飛起的天窗也差點(diǎn)砸到拍攝者的車(chē)輛。

視頻發(fā)出后很快在微博上引起了關(guān)注，特斯拉官方客服也很快給出了回應(yīng)：

但這份回應(yīng)似乎沒(méi)能讓多數(shù)網(wǎng)有買(mǎi)賬。有網(wǎng)友指出，特斯拉天窗被掀飛在國(guó)外早有先例，今年 10 月，美國(guó)一名特斯拉車(chē)主就曾發(fā)文稱(chēng)，其在提車(chē) Model Y 回家的高速路上，全景天窗突然整體脫落，Model Y 秒變“敞篷車(chē)”。

還有報(bào)道指出，特斯拉的車(chē)主可能會(huì)遇到 NAND 內(nèi)存芯片老化的問(wèn)題，這可能會(huì)導(dǎo)致“一些特斯拉汽車(chē)出現(xiàn)一系列問(wèn)題，從后視鏡攝像頭的故障到轉(zhuǎn)向信號(hào)鈴聲和其他音頻警報(bào)的缺失”。

而類(lèi)似的安全事件還在繼續(xù)。

當(dāng)然，技術(shù)總會(huì)帶來(lái)?yè)p失，但更重要的是其推動(dòng)的整體社會(huì)進(jìn)步。期待在幾年后，我們可以坐上更為安全的自動(dòng)駕駛車(chē)輛出游。

雷鋒網(wǎng)雷鋒網(wǎng)雷鋒網(wǎng)

參考來(lái)源：

【1】https://www.wired.com/story/tesla-model-x-hack-bluetooth/

【2】https://www.zhitongcaijing.com/content/detail/366838.html

【3】https://tech.163.com/20/1124/07/FS6ASH9S00097U7T.html

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。