6

特斯拉被曝低级漏洞:用树莓派DIY车钥匙,开锁仅需90秒

 3 years ago
source link: https://www.qbitai.com/2020/11/20156.html
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.

无钥匙进入,真正变成了字面意义上的「无钥匙进入」。

贾浩楠 木易 发自 凹非寺

量子位 报道 | 公众号 QbitAI

一辆售价80-90万的特斯拉Model X,只用2000块就能开走???

这不是特斯拉在搞什么购车金融方案,而是比利时鲁汶大学的研究人员攻破了高端车型 Model X的安全漏洞

meEZfqN.jpg!mobile

他们只用2000元左右,拿树莓派电脑DIY了一个「车钥匙」,90秒打开车门,不到几分钟,就能把车开走了。

无钥匙进入,真正变成了字面意义上的「无钥匙进入」。

那么,问题出在哪里?特斯拉自己又是怎么解释的?

第一个漏洞:怎么进入汽车?

复制这把车钥匙的方法,就是偷偷坐在你旁边。当你和朋友谈笑风生的时候,你的车钥匙已经在神不知鬼不觉中被复制了。

aeamaye.gif!mobile

这是攻击者在演示如何接近车主,在近距离(15米内)中,用自己在网上购买的车身控制模块(BCM)去唤醒车主智能钥匙的蓝牙。

现实中,黑客当然不可能手捧着开发板从你旁边招摇走过,但是把它藏在背包里是完全没问题的。

攻击者需要先从目标汽车的挡风玻璃上读取了一串数字:车辆识别号的最后五位数字。

JvyiQvj.gif!mobile

通过这串数字,攻击者便可以为他们的盗版BCM创建一个代码,用于证明其身份。

相当于「再造」一个车机系统。

然后,拿着这一套克隆BCM,唤醒靠近的车钥匙,执行下一步的破解步骤。

iQFVFfV.gif!mobile

而这一步的关键,就是重写车主钥匙上的固件程序。

Model X的密钥卡,通过蓝牙与Model X内部的计算机连接,然后无线接收固件更新。

但是,这其中存在一个重大漏洞:Model X密钥的固件更新缺乏 加密签名 ,以证明更新固件更新来源的安全性。

通俗来说,就是证明更新来源是官方的、安全的,而Model X的车钥匙并不具备验证这一步。

所以黑客记录下挡风玻璃的后五位数,就能把树莓派伪装成Model X,诱骗你的车钥匙更新固件。

buAriaj.jpg!mobile

这个固件是黑客镜像设计的,它可以查询车钥匙里的安全芯片,为车辆生成解锁代码。

于是,攻击者便非常顺利地通过蓝牙,连接上目标车辆的密钥卡,重写固件。

当固件被更新为攻击者的版本后,便可以用它来查询密钥卡内的安全芯片(secure enclave chip)。

取得解锁代码之后,通过蓝牙将代码发送回你的车,就这样「门户大开」了。

zIzIRrR.gif!mobile

整个过程,只需要90秒,是不是有「谍战大片」那味了。

第二个漏洞:怎么启动汽车?

坐进车里,「偷车」只算完成了一半。

将特斯拉Model X启动并开走,还需要一些「体力活」。

上一步重写钥匙固件、破解安全芯片的方式,相当于用DIY主板上的蓝牙装置,复制了一把钥匙,目的是破解车门。

现在要做的就是让真正的车机系统认可这把假钥匙,从而启动车辆。

eeiQbqi.png!mobile

首先是拆下车内的屏幕下方的储物盒,在操作台内部有一个接口(物理接口),直接连接到车辆控制系统的核心部分,即CAN总线,其中包括了车辆本身的BCM。

把DIY电脑直接插在接口上,就可以直接向车辆本身的BCM发送指令。

emIJ7fM.gif!mobile

发送的指令,是让车辆本身的电脑跟黑客自己生成的钥匙匹配,这样就能轻松的启动车辆。

Arym2yz.gif!mobile

问题出在哪里呢?DIY生成的的假钥匙,为什么毫无障碍的就匹配上了车载系统?

其实,特斯拉的车钥匙上本来是带有独特的密码证书,以此来验证真实性。

但是,车上的BCM从头到尾都没有检查过证书。

手脚利索的老哥,从拆储物盒到开走汽车,也就几分钟时间。

这不是第一次了

而这,已经不是特斯拉第一次在无线密钥上被攻破了。

之前,特斯拉Model S也在密钥问题上被研究人员攻破过。

FVvmEr6.gif!mobile

先前的特斯拉Model S,是基于加密的密钥卡代码来控制车内设备,触发解锁并禁用其防盗锁。

2017年夏天,来自KU Leuven的研究团队发现:由一家名为Pektron的制造商所生产的特斯拉Model S无线密钥卡,只使用了一个弱的40位密码进行加密。

研究人员发现,一旦他们从任何给定的密钥卡中获得了两个代码,他们就可以以此类推进行尝试猜测,直到找到解锁汽车的密钥。

之后,他们计算可能组合,并整理成表。

有了这张表和这两个代码,研究者表示,他们可以在1.6秒内找到正确的密钥来「偷」你的车。

yUfmaqy.gif!mobile

研究人员在2017年8月将漏洞的研究发现告诉给了特斯拉。特斯拉对他们的研究表示了感谢,并向他们支付了10000美元的“赏金”。

但是,直到2018年下半年的加密升级和添加PIN码,这个加密隐患才得以解决。

特斯拉怎么说?

鲁汶大学的研究人员已于今年8月17号通知了特斯拉公司该安全问题,特斯拉在确认安全漏洞之后已经开始着手对安全漏洞进行修复。

本周开始,特斯拉将着手进行漏洞的更新修补推送。

这些措施包括两个方面,一是车钥匙本身对于固件更新的来源验证。

第二部分是车辆BCM对钥匙安全证书的漏检问题修复。

这些更新会在一个月内陆续覆盖所有有风险的车型。

3YFz6fe.jpg!mobile

发现了此漏洞的研究人员说,特斯拉的无钥匙进入技术与其他车相比,并没本质区别。

都是用低频无线电波(NFC)发送或接受解锁码来解锁车辆。

特斯拉的独特之处,在于设计了能让车钥匙固件接受OTA更新的蓝牙部分。

正式在OTA这个节点上的安全漏洞,让黑客可以轻松改写固件,从而获取访问底层安全芯片的权限,生成对应解锁码。

而在启动阶段,也缺乏对无线射频信号来源的有效身份核验。

同时,在链接车辆控制模块的物理接口上,特斯拉做的,也未免太随意了。

那么,没有蓝牙OTA环节的无钥匙进入,就没有风险吗?

也不是。

yYfy63E.jpg!mobile

此前,特斯拉安全部门曾表示, NFC中继攻击 ,几乎是无解的。

这种方法简单粗暴,就是在一定范围内放大车钥匙的NFC信号,从而解锁和启动车辆。

所以,不光是特斯拉,所有采用NFC无钥匙进入技术的车型,都面临风险。

以后,还能放心使用无钥匙进入吗?

参考链接:

https://www.wired.com/story/hackers-steal-tesla-model-s-seconds-key-fob/

https://mashable.com/article/model-s-tesla-relay-attack/

版权所有,未经授权不得以任何形式转载及使用,违者必究。


report

Recommend

About Joyk


Aggregate valuable and interesting links.
Joyk means Joy of geeK