特斯拉被曝低級漏洞:用樹莓派DIY車鑰匙,開鎖僅需90秒

賈浩楠 木易 發自 凹非寺 
量子位 報道 | 公眾號 QbitAI

一輛售價80-90萬的特斯拉Model X,隻用2000塊就能開走???

這不是特斯拉在搞什麼購車金融方案,而是比利時魯汶大學的研究人員攻破瞭高端車型Model X的安全漏洞!

他們隻用2000元左右,拿樹莓派電腦DIY瞭一個「車鑰匙」,90秒打開車門,不到幾分鐘,就能把車開走瞭。

無鑰匙進入,真正變成瞭字面意義上的「無鑰匙進入」。

那麼,問題出在哪裡?特斯拉自己又是怎麼解釋的?

第一個漏洞:怎麼進入汽車?

復制這把車鑰匙的方法,就是偷偷坐在你旁邊。當你和朋友談笑風生的時候,你的車鑰匙已經在神不知鬼不覺中被復制瞭。

這是攻擊者在演示如何接近車主,在近距離(15米內)中,用自己在網上購買的車身控制模塊(BCM)去喚醒車主智能鑰匙的藍牙。

現實中,黑客當然不可能手捧著開發板從你旁邊招搖走過,但是把它藏在背包裡是完全沒問題的。

攻擊者需要先從目標汽車的擋風玻璃上讀取瞭一串數字:車輛識別號的最後五位數字。

通過這串數字,攻擊者便可以為他們的盜版BCM創建一個代碼,用於證明其身份。

相當於「再造」一個車機系統。

然後,拿著這一套克隆BCM,喚醒靠近的車鑰匙,執行下一步的破解步驟。

而這一步的關鍵,就是重寫車主鑰匙上的固件程序。

Model X的密鑰卡,通過藍牙與Model X內部的計算機連接,然後無線接收固件更新。

但是,這其中存在一個重大漏洞:Model X密鑰的固件更新缺乏加密簽名,以證明更新固件更新來源的安全性。

通俗來說,就是證明更新來源是官方的、安全的,而Model X的車鑰匙並不具備驗證這一步。

所以黑客記錄下擋風玻璃的後五位數,就能把樹莓派偽裝成Model X,誘騙你的車鑰匙更新固件。

這個固件是黑客鏡像設計的,它可以查詢車鑰匙裡的安全芯片,為車輛生成解鎖代碼。

於是,攻擊者便非常順利地通過藍牙,連接上目標車輛的密鑰卡,重寫固件。

當固件被更新為攻擊者的版本後,便可以用它來查詢密鑰卡內的安全芯片(secure enclave chip)。

取得解鎖代碼之後,通過藍牙將代碼發送回你的車,就這樣「門戶大開」瞭。

整個過程,隻需要90秒,是不是有「諜戰大片」那味瞭。

第二個漏洞:怎麼啟動汽車?

坐進車裡,「偷車」隻算完成瞭一半。

將特斯拉Model X啟動並開走,還需要一些「體力活」。

上一步重寫鑰匙固件、破解安全芯片的方式,相當於用DIY主板上的藍牙裝置,復制瞭一把鑰匙,目的是破解車門。

現在要做的就是讓真正的車機系統認可這把假鑰匙,從而啟動車輛。

首先是拆下車內的屏幕下方的儲物盒,在操作臺內部有一個接口(物理接口),直接連接到車輛控制系統的核心部分,即CAN總線,其中包括瞭車輛本身的BCM。

把DIY電腦直接插在接口上,就可以直接向車輛本身的BCM發送指令。

發送的指令,是讓車輛本身的電腦跟黑客自己生成的鑰匙匹配,這樣就能輕松的啟動車輛。

問題出在哪裡呢?DIY生成的的假鑰匙,為什麼毫無障礙的就匹配上瞭車載系統?

其實,特斯拉的車鑰匙上本來是帶有獨特的密碼證書,以此來驗證真實性。

但是,車上的BCM從頭到尾都沒有檢查過證書。

手腳利索的老哥,從拆儲物盒到開走汽車,也就幾分鐘時間。

這不是第一次瞭

而這,已經不是特斯拉第一次在無線密鑰上被攻破瞭。

之前,特斯拉Model S也在密鑰問題上被研究人員攻破過。

先前的特斯拉Model S,是基於加密的密鑰卡代碼來控制車內設備,觸發解鎖並禁用其防盜鎖。

2017年夏天,來自KU Leuven的研究團隊發現:由一傢名為Pektron的制造商所生產的特斯拉Model S無線密鑰卡,隻使用瞭一個弱的40位密碼進行加密。

研究人員發現,一旦他們從任何給定的密鑰卡中獲得瞭兩個代碼,他們就可以以此類推進行嘗試猜測,直到找到解鎖汽車的密鑰。

之後,他們計算可能組合,並整理成表。

有瞭這張表和這兩個代碼,研究者表示,他們可以在1.6秒內找到正確的密鑰來「偷」你的車。

研究人員在2017年8月將漏洞的研究發現告訴給瞭特斯拉。特斯拉對他們的研究表示瞭感謝,並向他們支付瞭10000美元的“賞金”。

但是,直到2018年下半年的加密升級和添加PIN碼,這個加密隱患才得以解決。

特斯拉怎麼說?

魯汶大學的研究人員已於今年8月17號通知瞭特斯拉公司該安全問題,特斯拉在確認安全漏洞之後已經開始著手對安全漏洞進行修復。

本周開始,特斯拉將著手進行漏洞的更新修補推送。

這些措施包括兩個方面,一是車鑰匙本身對於固件更新的來源驗證。

第二部分是車輛BCM對鑰匙安全證書的漏檢問題修復。

這些更新會在一個月內陸續覆蓋所有有風險的車型。

發現瞭此漏洞的研究人員說,特斯拉的無鑰匙進入技術與其他車相比,並沒本質區別。

都是用低頻無線電波(NFC)發送或接受解鎖碼來解鎖車輛。

特斯拉的獨特之處,在於設計瞭能讓車鑰匙固件接受OTA更新的藍牙部分。

正式在OTA這個節點上的安全漏洞,讓黑客可以輕松改寫固件,從而獲取訪問底層安全芯片的權限,生成對應解鎖碼。

而在啟動階段,也缺乏對無線射頻信號來源的有效身份核驗。

同時,在鏈接車輛控制模塊的物理接口上,特斯拉做的,也未免太隨意瞭。

那麼,沒有藍牙OTA環節的無鑰匙進入,就沒有風險嗎?

也不是。

此前,特斯拉安全部門曾表示,NFC中繼攻擊,幾乎是無解的。

這種方法簡單粗暴,就是在一定范圍內放大車鑰匙的NFC信號,從而解鎖和啟動車輛。

所以,不光是特斯拉,所有采用NFC無鑰匙進入技術的車型,都面臨風險。

以後,還能放心使用無鑰匙進入嗎?

參考鏈接:
https://www.wired.com/story/tesla-model-x-hack-bluetooth/
https://www.wired.com/story/hackers-steal-tesla-model-s-seconds-key-fob/
https://mashable.com/article/model-s-tesla-relay-attack/

— 完 —

本文系網易新聞•網易號特色內容激勵計劃簽約賬號【量子位】原創內容,未經賬號授權,禁止隨意轉載。

量子位年度智能商業大會啟幕,大咖已就位!

12月16日,李開復博士、尹浩院士、清華唐傑教授,以及來自小米、美團、愛奇藝、小冰、亞信、浪潮、容聯、澎思、地平線、G7等知名AI大廠的大咖嘉賓將齊聚MEET2021大會,期待關註AI的朋友報名參會、共探新形勢下智能產業發展之路。

▽早鳥票限時優惠,掃碼鎖定席位吧~

量子位 QbitAI · 頭條號簽約作者

վ’ᴗ’ ի 追蹤AI技術和產品新動態

一鍵三連「分享」、「點贊」和「在看」

科技前沿進展日日相見~