多年來,汽車制造商和黑客都知道,無線車鑰匙的信號(hào)是可以假冒的,利用這種狡猾的辦法,打開車門甚至把車開走都不成問題。但即便各種演示和現(xiàn)實(shí)案例層出不窮,該技術(shù)至今對(duì)很多車型有效。如今,中國研究團(tuán)隊(duì)不僅又演示了一遍此種攻擊,還將攻擊成本減少到令人驚訝的程度,操作起來也十分簡(jiǎn)單。
奇虎360的一組研究人員近日推出了所謂的中繼黑客方法,用一對(duì)11美元(兩個(gè)共22美元)的自制無線電裝置,就能堂而皇之開走別人的車。這比之前的車鑰匙欺騙硬件都要便宜得多。
剛剛在阿姆斯特丹舉行的 Hack in the Box 黑客安全大會(huì)上,360的研究人員稱,他們的方法不僅大幅降低了入侵成本,還使無線電攻擊的范圍倍增,甚至能在300多米開外就實(shí)施攻擊。
該攻擊的思路基本上就是讓車輛和鑰匙都以為相互距離很近:
一名黑客拿著其中一個(gè)裝置守在受害者車鑰匙近旁,負(fù)責(zé)偷車的黑客拿著另一個(gè)裝置靠近目標(biāo)車輛。靠近車輛的設(shè)備假冒來自車鑰匙的信號(hào),誘使車輛免鑰匙進(jìn)入系統(tǒng)發(fā)出無線電信號(hào),尋求車鑰匙返回的匹配信號(hào)。黑客的設(shè)備不會(huì)試圖破解該無線電代碼,而是復(fù)制之,通過無線電在黑客設(shè)備間傳輸,再發(fā)回給車鑰匙。然后立即將車鑰匙的返回信號(hào)沿該傳送鏈傳回,讓車輛產(chǎn)生鑰匙就在駕駛員手里的假象。
獨(dú)角獸團(tuán)隊(duì)的研究員李軍表示, “該攻擊利用兩臺(tái)設(shè)備擴(kuò)展了遙控鑰匙的有效范圍。車主在辦公室上班,或者在超市購物,停在停車場(chǎng)的車輛就會(huì)被配合默契的兩人開走。這很簡(jiǎn)單。”
讀懂信號(hào)
對(duì)免鑰匙進(jìn)入系統(tǒng)的中繼攻擊,至少可追溯到2011年。當(dāng)時(shí)瑞士研究人員是用數(shù)千美元的軟件定義無線電設(shè)備演示的。去年,德國汽車俱樂部(ADAC)的研究人員展示了他們可以僅用225美元的設(shè)備就達(dá)到相同效果。他們還發(fā)現(xiàn)該方法仍然對(duì)24種車型有效。鑒于該問題波及范圍之廣,以及軟件或硬件汽車安全補(bǔ)丁的罕見,他們列表上那些出自奧迪、寶馬、福特、大眾等業(yè)界巨頭的車輛,很可能依然對(duì)此攻擊毫無防備。
而且,獨(dú)角獸團(tuán)隊(duì)還將無線電中繼盜車技術(shù)更推進(jìn)一步,不僅復(fù)制原始無線電信號(hào)并整體發(fā)送,還打造了包含解調(diào)芯片的定制設(shè)備,將信號(hào)解析稱01序列。該逆向工程的成功意味著,他們可以將被分解的信號(hào)以低得多的頻率一位一位地發(fā)送,將ADAC測(cè)試中的100米有效范圍擴(kuò)展至300米,同時(shí)還保持低功耗。關(guān)鍵是,該硬件真的便宜很多。他們?cè)?臺(tái)設(shè)備的芯片、發(fā)射器、天線和電池上總共只花了不到800塊人民幣,這算下來每臺(tái)設(shè)備僅11美元。
開發(fā)出免鑰匙進(jìn)入黑客技術(shù)的著名獨(dú)立安全研究員薩米·卡姆卡稱:“獨(dú)角獸團(tuán)隊(duì)逆向工程信號(hào)的做法很令人驚艷。原版攻擊采取的是錄制回放方法。而這個(gè)團(tuán)隊(duì)理解了語言:有點(diǎn)像是寫下單詞,再對(duì)另一端說出來。”個(gè)中差別可能會(huì)將更多的研究目光引向該協(xié)議中的漏洞。
便宜又簡(jiǎn)單
在360研究團(tuán)隊(duì)的測(cè)試中,兩種車型可以被遠(yuǎn)程開門駛走:中國汽車制造商比亞迪的秦系列氣電混合動(dòng)力轎車,雪佛蘭科帕奇SUV。但研究人員強(qiáng)調(diào),該問題遠(yuǎn)不止他們測(cè)試的兩種車型存在。秦系列轎車、科帕奇SUV和其他數(shù)十種車型都采用的是荷蘭芯片制造商N(yùn)XP打造的免鑰匙進(jìn)入系統(tǒng)。而且,NXP很可能不是唯一一家讓車輛對(duì)該攻擊束手無策的芯片廠商。
NXP發(fā)言人稱:“業(yè)界已經(jīng)注意到中繼攻擊復(fù)雜性和成本近年來有所下降。汽車制造商和車輛進(jìn)入系統(tǒng)集成商正在引入對(duì)抗此類攻擊的解決方案。”但該公司將特定車型現(xiàn)有漏洞的問題歸結(jié)到了汽車制造商身上。目前無論是比亞迪還是雪佛蘭,都還沒有對(duì)評(píng)論請(qǐng)求做出任何回應(yīng)。
360的研究人員稱,從汽車制造商和NXP這樣的零部件公司角度,通過收緊鑰匙和車輛間通信請(qǐng)求-響應(yīng)的時(shí)間限制,中繼攻擊就可以被有效防止了。從太遠(yuǎn)的地方中繼信號(hào),這些限制就阻止欺詐傳輸被接受。
而在車主方面也有辦法:把車鑰匙放到屏蔽無線電傳輸?shù)姆ɡ诖永?,或者放到封閉的金屬盒子里。把鑰匙包上錫紙也能達(dá)到同樣效果,只是未免有點(diǎn)惶恐。但若獨(dú)角獸團(tuán)隊(duì)的研究真的顯露出某種跡象,對(duì)汽車免鑰匙進(jìn)入系統(tǒng)的攻擊只會(huì)越來越簡(jiǎn)單而常見。