黑客秒破特斯拉model S钥匙系统获取车辆控制权

研究员发现特斯拉Model S的钥匙系统存在缺陷,利用这个缺陷可以在几秒钟内完成汽车钥匙的克隆,从而获得车辆的控制权。根据分析,这个缺陷可能也会影响到McLaren和Karma销售的汽车,以及Triumph销售的摩托车,因为他们使用了同一厂商的无钥匙进入系统。

近年来,特斯拉聘请了顶尖的安全工程师,采取了大量的措施保护其装备的车辆驾驶系统免受黑客攻击,推动了互联网软件的更新,并增加了代码完整性的检查。但是在周一,比利时KU Leuven大学安全团队在阿姆斯特丹举办的关于硬件和嵌入式系统密码学的会议上发表了演讲,揭示了一种可以利用600美元的无线设备破解特斯拉Model S豪华轿车上的无钥匙系统技术。利用这个无线设备可以读取附近特斯拉车主钥匙的信号,不到两秒就可以破解出钥匙的加密密钥,从而导致车辆在车主视线外被盗。研究员称:“我们可以完全冒充车辆钥匙进入车辆并驾驶”。

两周前,特斯拉为Model S推出了新的防盗功能,其中包括设置PIN码的功能,需要人工输入PIN码才可以驾驶汽车。斯拉还表示,今年6月之后销售的Model S不易受到攻击,因为它针对KU Leuven的研究实施了升级的无线钥匙的加密技术。但是,如果之前制造的Model S的车主没有打开该PIN,或者没有用更强的加密版本来替换他们的密钥卡,仍然容易受到他们的密钥克隆方法的影响。

与大多数的无钥匙进入系统类似,基于1个私密的加密密钥,特斯拉Model S配备的钥匙扣将一段加密代码发送给汽车的无线电,以此来解锁并禁用其防盗装置,进而启动发动机。经过9个月左右的逆向研究,KU Leuven团队在2017年夏天发现特斯拉Model S的无钥匙进入系统是由一家名为Pektron的厂商生产的,而该厂商仅仅使用了一个40-bit的弱密钥来加密那些钥匙扣发送的代码。研究人员随后发现,一旦同一个钥匙扣的2次代码被截获,他们就可以直接尝试暴力破解来找出加密密钥,从而解锁汽车本身。研究人员随后为任何代码对组合计算得到了所有可能的密钥并创建一个6TB大小的密钥表。通过使用这个表以及截获的2个代码,黑客就可以在1.6秒内直接查找出正确的加密密钥,从而破解任意钥匙扣,打开对应的Model S车辆。

在POC演示中(文末视频演示地址),研究人员演示了他们无钥匙进入系统的攻击技术,整套硬件工具中包括:

  • Yard Stick One Radio,
  • Proxmark radio,
  • Raspberry Pi迷你计算机,
  • 移动硬盘(装有他们提前计算好的密钥表)
  • 以及一些必要的电池等。

首先,黑客会使用Proxmark radio来获取目标特斯拉车辆锁定系统的radio ID,这个是车辆本事一直在广播的内容。随后,黑客在受害者钥匙扣约3英尺范围内清除该radio并使用车辆的ID来给钥匙扣发一个伪造的“challenge”。攻击者会迅速的进行2次该操作,并且获取到钥匙扣根据“challenge”给出的“response”代码。接下来,黑客会使用这2个代码以及他们移动硬盘中提前计算好的密钥表来找倒使用的密钥,通过这个密钥,黑客随后可以伪造一个无线电信号来解锁车辆并且启动引擎。

研究人员表示该攻击之所以能够成功,是因为Pektron的钥匙扣系统使用了较弱的加密密钥。KU Leuven的研究人员表示他们已经在2017年8月份告知了特斯拉,特斯拉也承认了他们的研究成果并且提供了赏金,然而直到6月份才联通加密系统升级等修复了该问题。鉴于该修复需要通过测试以及融合到其他的生产流程中所需要的时间以及其他必要工作,特斯拉表示他们已经尽最大努力最快的提供了修复。特斯拉发言人称“由于越来越多的方法可用于通过被动进入系统窃取多种汽车,而不仅仅是特斯拉,我们推出了许多安全增强功能,以帮助我们的客户减少未经授权使用其车辆的可能性。基于KU Leuven小组提供的研究,我们与供应商合作,通过在2018年6月为Model S引入更强大的加密技术,使我们的密钥更加安全。所有Model S车辆的相应软件都可以进行升级。”

除了特斯拉之外,研究人员称该攻击对McLaren and Karma以及Triumph也有效果,因为它们也使用了Pektron的钥匙扣系统。目前这两家厂商表示他们仍在调查中,并提醒了用户潜在的风险。研究人员表示,如果这些公司真的受影响,那么他们可能需要召回并更换所有受影响的钥匙扣,并且向受影响的车辆推出软件更新,由于这些厂商不像特斯拉可以接收无线更新,因此这一情况可能影响巨大。 KU Leuven的研究员Ashur表示,揭示该漏洞是为了使得厂商能够尽快提供解决方案来保证用户免遭盗窃。同时特斯拉也提供了PIN码功能以及第二段被动认证,即用户需要手动按下钥匙扣上的按钮才能够解锁汽车。这些措施都能够有效防止上述的攻击,用户也应该使用这些功能来保证自己的车辆不被盗窃。

近些年来,黑客已经多次证明可以使用中继/重放攻击来欺骗汽车的无线信号系统来触发钥匙扣的响应,从而解锁汽车的锁定系统并发动引擎。手法无非是通过加强钥匙扣的信号强度或者是通过在受害者车辆和钥匙扣中间通过一些技术来扩大信号的响应范围。虽然这些攻击可能仅仅允许黑客伪造用户的钥匙扣一次并将车开走,但是无法再次使用,是一次性的攻击手段。然而KU Leuven团队展示的攻击确是永久的。虽然车主每次输入一个PIN码解锁车辆或者是要在钥匙扣上按一下按钮会很繁琐和麻烦,但是为了避免回到停车场发现自己的爱车不见了这种悲剧情况,用户还是多花几秒钟操作一番吧。

文中提及的攻击者演示视频:

http://www.iqiyi.com/w_19s0p2jxr1.html

参考链接:

https://www.wired.com/story/hackers-steal-tesla-model-s-seconds-key-fob/

 

 

 

发表评论