來源： 新智元

2022年5月，特斯拉Model Y的無線車鑰匙又被白帽黑客宣布攻破了。

 

黑進特斯拉車鑰匙，近年成了一個白帽黑客界的大眾攻關課題。幾乎每年每個型號，都會爆出鑰匙卡被攻破的消息。

 

當然，這不是沒有理由的。因為每宣布攻破一次，特斯拉大都會給取得突破的白帽黑客發錢……

 

 

2022年5月，英國網安人十秒黑掉特斯拉Model Y鑰匙 ??

?北京時間5月17日消息，英國曼徹斯特安全公司NCC Group的首席安全顧問Sultan Qasim Khan表示，特斯拉Model 3和Model Y的無線鑰匙的漏洞，將允許竊賊輕松解鎖汽車、開走逃逸。

 

通過重定向車主的手機或無線遙控鑰匙與汽車之間的通信，外人可以欺騙特斯拉汽車的安全系統，使其認為車主就在汽車附近。

 

Khan稱，雖然他是在一款特斯拉車型上演示了這項技術，但是該入侵技術并不是專門針對特斯拉的。

 

相反，這是他對特斯拉的無線鑰匙系統進行修補的結果，該系統依賴于「低能耗藍牙」 (BLE) 協議。

 

沒有證據表明竊賊利用這一入侵技術不正當地進入特斯拉汽車。特斯拉尚未置評。

 

在給彭博社記者做展示時，Khan用「回放攻擊」成功地黑掉了特斯拉的車鑰匙。

 

其他蟊賊用更低端的同類方法偷車時被拍到

 

Khan先把首個信號轉接的重放器置于特斯拉車鑰匙15碼內，然后再將第二個重放器接入自己的筆記本電腦。

 

如此，Khan就能把自己用花50美元在網上買的的藍牙定制套裝編寫的惡意代碼，上載到特斯拉車鑰匙中。

 

十秒鐘內，就能黑掉特斯拉的車鑰匙。

 

而兩個重放器也就只值50美元。

 

Khan表示，「我把這種潛在的可能性公開了。但是特斯拉好像并不覺得這算得上是風險。」

 

如果想修復這個問題，特斯拉就得把他們的硬件設施打好補丁，然后再把無線鑰匙的系統優化。

 

BLE協議的設計初衷，是為了讓不同設備在網絡上能更加便捷地連接。

 

 

然而，這反倒成為了黑客解鎖智能技術裝置的「一把鑰匙」。

 

無論是房門、車門、手機還是筆記本電腦，黑客都能靠著BLE一網打盡。

 

利用這種能力，黑客甚至還能攻擊別的汽車制造商或是科技公司的產品。

 

比利時黑客特斯拉三連黑

2018年1.6秒黑進Model S鑰匙

 

這不是特斯拉的車鑰匙第一次被黑了，很可能也不是最后一次。

 

自2018年開始，比利時魯汶大學電子工程系的「計算機安全與工業加密學」（COSIC）小組，就把黑掉特斯拉車鑰匙作為一個小組項目來做，屢有斬獲。

 

2017-2018年間，COSIC小組的研究者們發現，為特斯拉制造無線車鑰匙設備固件的廠商Pektron，給開鎖信號的加密程度是40位密鑰加密。

 

這種程度的加密，在1990年代末就不能算特別艱深了。研究者窮舉了所有可能的兩步密鑰組合后，文件大小也就6T左右。

 

將這個密鑰組合文件加載在樹莓派迷你電腦板上，樹莓派再搭上倆無線電模塊，就齊活了。

 

 

此套裝總計軟硬件成本不超過6百美元，就能在1.6秒內成功無痕跡對齊密鑰、突破加密，偽裝特斯拉Model S鑰匙，開走近十萬美元售價的車。

 

特斯拉為COSIC小組找出并申報的這個設備漏洞，在2018年9月獎勵了他們一萬美元。

 

2019年再次黑進Model S鑰匙

 

2019年，比利時魯汶大學的研究人員表示，他們又一次成功攻破了特斯拉Model S的無線鑰匙。

 

2019年8月，該大學COSIC小組的主要成員Lennert Wouters再次聲明，稱他們設法利用了一個系統漏洞，繞過了特斯拉最初的弱點補丁，能夠再次黑掉無線鑰匙、開走鎖上的Model S。

 

Wouters表示，不論補丁前還是補丁后，鑰匙的密鑰卡都是Pektron公司生產的，而固件加密系統里有個配置錯誤。黑客想黑進去比原來還要容易得多。

 

研究者現場作案實驗

 

特斯拉和Pektron應對2018年攻破的補丁方法，是把40位的密鑰換成了80位。看上去足足長了一倍，在數學理論上本該使破解難度提高一萬億倍。

 

但是COSIC小組卻發現，因為上述加密系統漏洞的存在，就算是80位密鑰，也可以很容易地拆分成兩組40位的分別密鑰逐個破解。

 

這相當于，把本該上升一萬億倍的破解難度，降低成了上升2倍。

 

2020年11月，1.5分鐘黑進特斯拉Model X鑰匙

 

可能是食髓知味、越玩越爽停不下來，2020年11月，COSIC小組和帶頭研究者Lennert Wouters又宣布把特斯拉Model X的車鑰匙給黑了。

 

當然，Model X的各方面性能都更強些，找不到Model S那種搞笑漏洞了。不過防護就是用來被攻破的，既然密鑰難以直接硬破，那么就從其他組件下手。

 

這次COSIC小組用的攻破路徑是Model X二手車上拆下來的舊「電控單元」元件（ECU），這種元件在各種網店和到處的實體店里都有賣。

 

Model X車鑰匙的密鑰卡當時沒有用于固件更新的「代碼簽名」。如果車主通過藍牙獲得無線更新，系統無法確認固件代碼是否是「來自特斯拉的不可偽造的加密簽名」，從而讓固件有被惡意重寫的可能。

 

開車實驗的記錄視頻截圖

 

COSIC小組先拿改裝過的舊ECU與目標Model X車輛的車鑰匙配對。做到這點并不難，只消接近到目標鑰匙周圍5米內，停滯短暫時間就好。

 

配對結束后，改裝過的舊ECU可以對無線車鑰匙上載惡意代碼、重寫固件驅動。雖然上載過程需要1.5分鐘，但距離可以拉長至30米內，降低了受害者發覺的可能。

 

重寫完成后，Model X的車鑰匙就被成功黑掉了。黑客可以從中讀取出解密開鎖的數據段并打開車門。不過由于Model X的設置，一時還開不走。

 

不過不要緊，此時拿特斯拉維修工們常用的診斷轉接器，連上之前用的舊ECU，再把車子配對上自己的克 隆鑰匙，就能揚長而去了。

 

全套攻破套裝，從樹莓派電腦板載體、到舊ECU、再到電池等等，總共也就值195美元。

 

 

特斯拉的車越做越壕，但好像偷走它們的成本也越來越低了。

 

Lennert Wouters表示，在2020年8月，COSIC小組就把這個漏洞按特斯拉自己的流程申報給他們了，特斯拉很快就做了補丁更新。

 

2022年1月，德國小哥連黑25輛特斯拉

2022年1月，19歲德國黑客David Colombo突然發推宣布，自己成功地控制了10個國家的20多輛特斯拉的。

 

隨后，這個數字很快就增加到了13個國家和超過25輛特斯拉。

 

據稱在上報漏洞后，David Colombo也拿到了特斯拉給的1.5萬美元「抓蟲賞金」。

 

 

簡而言之，他通過攻破了特斯拉的自托管開源服務器，結合「默認密碼憑證沒改」這一自古以來的數碼系統漏洞，能遠程讓被黑掉的特斯拉汽車執行：

 

    解鎖車門

    打開車窗

    啟動無鑰匙駕駛

    分享視頻到特斯拉

    調整空調模式和溫度

    控制喇叭和燈光

 

David Colombo表示，雖然沒有取得任何轉向、加速、剎車和其他駕駛動作的權限，不過理論上可以通過漏洞開啟召喚模式讓車輛自動移動。

 

不過，做到這些就很可怕了。

 

想想看，某日風和日麗，又沒被全域靜止。

 

特斯拉車主你開著一輛嶄新的特斯拉行駛在高速路上。

 

輔助駕駛完美地保持著車速，全身放松的車主正在享受這美好的駕駛體驗。

 

車內的音響突然以爆炸般的音量瘋狂輸出Rick Astley的「Never Gonna Give You Up」。

 

被「瑞克搖」嚇尿的車主想要靠邊停車，結果車窗突然降了下來、車門也自己彈開、車燈像著了魔一樣閃個不停。

 

想想看，車子這般作妖，是不是還不如干脆被開走算了。

 

馬斯克院士不可能不知道這些攻破事跡，他對此怎么想的，卻沒人知道。

 

不過從特斯拉沒斷過給攻破者發錢的舉措看，應該是竊喜吧：

 

特斯拉等于把檢測鑰匙加密系統的業務廣泛外包了，而突破的白帽黑客名利雙收。

 

這可以算作真正的雙贏了。?

參考資料：

https://www.wired.com/story/tesla-model-x-hack-bluetooth/
https://www.wired.com/story/hackers-steal-tesla-model-s-seconds-key-fob/
https://www.wired.com/story/hackers-steal-tesla-model-s-key-fob-encryption/
https://www.bloomberg.com/news/articles/2022-05-16/hacker-shows-off-a-way-to-unlock-tesla-models-start-the-engine

- End -

公眾號原文鏈接：https://mp.weixin.qq.com/s/k0JI3qiW3cuWSVn_YGZsSw