90秒解鎖,60秒配對鑰匙!你的Model X能被駭客在幾分鐘內開走

90秒解鎖,60秒配對鑰匙!你的Model X能被駭客在幾分鐘內開走

ADVERTISEMENT

提到特斯拉,除了實現航天夢身價大漲的馬斯克,你可能最先想到的是特斯拉的自動駕駛技術。不過,你可能不知道,對於馬斯克來說,特斯拉的線上更新技術也是一項讓他驕傲的成就。

簡單來說,特斯拉的線上更新技術可以幫助車主自動推送新程式碼,修復bug和新增功能。

但是,最近研究人員發現,特斯拉的這項線上更新技術正在給駭客提供可乘之機,而且操作手法之簡單、零件開銷之便宜,都讓不少人紛紛擔心起自己家裡的特斯拉來。

正如比利時大學KULeuven的安全研究員倫納特·沃特(Lennert Wouters)所說的那樣,他可以透過藍牙連接覆蓋韌體,解鎖密碼,在幾分鐘內竊取一輛Model X。

花300美元,90秒解鎖一輛Model X???

倫納特·沃特表示,他在特斯拉Model X汽車及其無密碼入口中發現的一系列安全漏洞。

他發現:任何偷車賊都可能利用這些漏洞,只要他們設法透過擋風玻璃讀取到汽車儀表板上的車輛識別號碼,並在距離受害者的鑰匙大約15英呎(約4.6公尺)以內作案,就能保證作案成功。

搭建盜劫所需的硬體裝備花費了Wouters大約300美元,他把這些硬體放進背包內,透過手機進行控制,在90秒內,他就成功提取出了射頻密碼,輕鬆解鎖了一輛Model X。

Wouters定製的特斯拉ModelX駭客工具,成本約$300,包括一個ModelX車身控制模組,一個拆卸的車鑰匙鎖,一個RaspberryPI小型電腦和一個電池。

沃特發現的第二個弱點是:一旦偷車賊進入車內,利用1分鐘的時間,將自己的鑰匙與受害者的鑰匙配對之後,便可駕駛汽車離開。

沃特說:「兩個漏洞結合在一起,駭客可以在幾分鐘內竊取到Model X,兩個技術結合在一起的話,車主將遭受更慘重的攻擊。」

為了展示他的技術,沃特組裝了一個麭包盒大小的設備,其中包括Raspberry PI小型電腦、二手Model X BCM、車輛密碼鎖、電源轉換器和電池。整個套件,包括可以發送和接收射頻命令的所有裝備,花費不到300美元。

設計完成之後,Wouters便可以悄悄地控制它:輸入汽車的VIN號碼,解鎖程式碼,並透過智慧型手機上的一個簡單命令提示符配對新的密鑰。

他計畫在RealWorldCrypto大會上展示他的發現。

Model X的無密碼輸入系統的安全設計與具體實現之間存在明顯的脫節

沃特說,他已經在8月份警告過特斯拉Model X無密碼解鎖車輛的潛在危險性。但是特斯拉公司回覆說,計畫在當週開始對軟件進行更新,可能還涉及汽車的硬體,以阻止兩組攻擊之中的至少一組攻擊。

特斯拉告訴Wouters,為了防止駭客入侵,Model X的車主在未來幾週內應該更新他們的特斯拉,最新的修補程式可能還需要近一個月的時間才能在所有車輛上完成安裝。與此同時,沃特也表示,他一直非常小心,不發布任何程式碼或透露技術細節,以防止偷車賊利用他的攻擊技術。

沃特利用了他在Model X的無密碼進入系統中發現的一系列安全問題,其中包括主要問題和次要問題,這些問題加在一起能完全解鎖車輛,進而啟動和竊取車輛。

首先,Model X的車鑰匙缺少韌體更新的「密碼簽名」。特斯拉的Model X車鑰匙,可以透過藍牙無線連接到Model X內部的電腦來做到線上韌體更新,但沒有確認新的韌體程式碼有來自特斯拉的不可偽造的密碼簽名。

沃特發現,他可以用自己的電腦和藍牙接入目標Model X的車鑰匙鎖,重寫韌體,利用它存取到車鑰匙鎖內部的加密晶片,利用該晶片為車輛生成解鎖程式碼。然後,透過藍牙將解鎖程式碼發回自己的電腦,整個過程耗時90秒。

起初,沃特發現建立藍牙連接並不那麼容易。Model X車鑰匙鎖的藍牙射頻訊號的「喚醒」狀態只能持續幾秒鐘。隨後,沃特很快發現負責Model X無密碼接入系統的電腦中,有一個車身控制模組(body control module,BCM)也可以執行藍牙喚醒命令。

於是,他在eBay上購買了一個Model X的BCM模組,花了不到$100。沃特利用它將攻擊射頻信號發送給車鑰匙。初始化喚醒命令必須在大約15英呎以內的近距離發射,但如果車輛在戶外,可以在數百英呎外執行韌體更新。

沃特還發現,BCM從汽車VIN號碼的最後五位數字導出了一個識別程式碼,它是車鑰匙鎖身份的唯一識別碼。竊賊可以透過目標汽車的擋風玻璃,讀取儀表盤上的這些數字,然後可以用它為盜版BCM創建一個密碼。

沃特說:「最終,你會認為複製了一個屬於目標車輛的BCM,強制複製的BCM給目標車輛的車鑰匙鎖發送喚醒命令。」

90秒解鎖,60秒配對鑰匙!你的Model X能被駭客在幾分鐘內開走

但是,即便是最聰明的駭客攻擊,目前也只做到了沃特的第一步解鎖功能。為了做到行駛車輛,還得進行下一步攻擊。

一旦打開車門鑰匙,進入到Model X之後,沃特可以將自己的電腦插入車輛上的一個通訊埠,該通訊埠位於顯示器下的小面板之上。他說,這可以在幾秒鐘內完成,不用任何其它工具。電腦透過該通訊埠發送命令給汽車的內部的CAN總線網絡。

然後,可以指示Model X的實際BCM與偽造的的車鑰匙配對,實際上是告訴汽車偽造的鑰匙是有效的。雖然每個ModelX鑰匙鎖都包含一個唯一的密碼證書,利用該證書來阻止汽車與假鑰匙配對,但沃特發現BCM實際上沒有檢驗該密碼證書。利用這個漏洞,實現假車輛鑰匙的有效性驗證,並把車開走——只需一分鐘的時間。

沃特指出,鑰匙鎖韌體更新缺乏驗證,新的鑰匙鎖與汽車配對缺乏驗證,這兩個最嚴重的漏洞表明Model X的無密碼輸入系統的安全設計與具體實現之間存在明顯的脫節。

特斯拉應該為車主提供解決問題的機制

沃特說,沒有證據表明他的技術被用於真實世界的汽車盜竊。但近年來,竊賊們已經盯上了特斯拉的無密碼進入系統,透過放大車鑰匙鎖的信號,解鎖和啟動汽車,達到盜竊車輛的目的,即便是車鑰匙鎖位於受害者的家中,汽車停在車道上,他們也能盜到車。

伯明翰大學的研究人員費拉維奧·賈西亞(Flavio Garcia)專注於汽車無密碼進入系統的安全問題,他說:「如果沃特沒有警告特斯拉,他的方法就很容易付諸實施,我認為這是一個現實的場景,許多漏洞交織在一起,進而構建出一個端到端的、實用的車輛攻擊。」

這一次暴露的Model X駭客技術並不是沃特首次發現的漏洞,他曾兩次發現特斯拉Model S無密碼進入系統中的漏洞,這些系統同樣允許利用射頻信號實現汽車盜竊。即使如此,他認為特斯拉在無密碼進入安全方面的做法並沒有什麼獨到之處。類似的系統可能同樣脆弱。

沃特曾說:「Model S是很酷的汽車,所以作案很有意思。如果我花同樣多的時間去研究其他品牌的汽車,可能會發現類似的問題。「

沃特指出:特斯拉的獨特之處是,與許多其他汽車製造商不同,它有能力實現OTA軟體修補程式,而不是要求司機把他們的車鑰匙鎖拿到經銷商那裡進行更新。

然而,汽車卻與個人電腦不同:即便更新機制帶有可以破解的漏洞,它也應為特斯拉車主提供解決問題的生命保障機制。

bigdatadigest
作者

大數據文摘(bigdatadigest)成立於2013年7月,專注數據領域資訊、案例、技術,在多家具有影響力的網站、雜誌設有專欄,致力於打造精準數據分析社群。

使用 Facebook 留言
發表回應
謹慎發言,尊重彼此。按此展開留言規則