特斯拉被曝低級漏洞:用樹莓派DIY車鑰匙開鎖僅需90秒
一輛售價80-90萬的特斯拉Model X,只用2000塊就能開走?這不是特斯拉在搞什麼購車金融方案,而是比利時魯汶大學的研究人員攻破了高端車型Model X的安全漏洞!他們只用2000元左右,拿樹莓派電腦DIY了一個’車鑰匙’,90秒打開車門,不到幾分鐘,就能把車開走了。
無鑰匙進入,真正變成了字面意義上的’無鑰匙進入’。那麼,問題出在哪裡?特斯拉自己又是怎麼解釋的?
第一個漏洞:怎麼進入汽車?
複製這把車鑰匙的方法,就是偷偷坐在你旁邊。當你和朋友談笑風生的時候,你的車鑰匙已經在神不知鬼不覺中被複製了。
這是攻擊者在演示如何接近車主,在近距離(15米內)中,用自己在網上購買的車身控制模塊(BCM)去喚醒車主智能鑰匙的藍牙。
現實中,黑客當然不可能手捧著開發板從你旁邊招搖走過,但是把它藏在背包裡是完全沒問題的。
攻擊者需要先從目標汽車的擋風玻璃上讀取了一串數字:車輛識別號的最後五位數字。
通過這串數字,攻擊者便可以為他們的盜版BCM創建一個代碼,用於證明其身份。
相當於’再造’一個車機系統。
然後,拿著這一套克隆BCM,喚醒靠近的車鑰匙,執行下一步的破解步驟。
而這一步的關鍵,就是重寫車主鑰匙上的固件程序。
Model X的密鑰卡,通過藍牙與Model X內部的計算機連接,然後無線接收固件更新。
但是,這其中存在一個重大漏洞:Model X密鑰的固件更新缺乏加密簽名,以證明更新固件更新來源的安全性。
通俗來說,就是證明更新來源是官方的、安全的,而Model X的車鑰匙並不具備驗證這一步。
所以黑客記錄下擋風玻璃的後五位數,就能把樹莓派偽裝成Model X,誘騙你的車鑰匙更新固件。
這個固件是黑客鏡像設計的,它可以查詢車鑰匙裡的安全芯片,為車輛生成解鎖代碼。
於是,攻擊者便非常順利地通過藍牙,連接上目標車輛的密鑰卡,重寫固件。
當固件被更新為攻擊者的版本後,便可以用它來查詢密鑰卡內的安全芯片(secure enclave chip)。
取得解鎖代碼之後,通過藍牙將代碼發送回你的車,就這樣’門戶大開’了。
整個過程,只需要90秒,是不是有’諜戰大片’那味了。
第二個漏洞:怎麼啟動汽車?
坐進車裡,’偷車’只算完成了一半。
將特斯拉Model X啟動並開走,還需要一些’體力活’。
上一步重寫鑰匙固件、破解安全芯片的方式,相當於用DIY主板上的藍牙裝置,複製了一把鑰匙,目的是破解車門。
現在要做的就是讓真正的車機系統認可這把假鑰匙,從而啟動車輛。
首先是拆下車內的屏幕下方的儲物盒,在操作台內部有一個接口(物理接口),直接連接到車輛控制系統的核心部分,即CAN總線,其中包括了車輛本身的BCM。
把DIY電腦直接插在接口上,就可以直接向車輛本身的BCM發送指令。
發送的指令,是讓車輛本身的電腦跟黑客自己生成的鑰匙匹配,這樣就能輕鬆的啟動車輛。
問題出在哪裡呢?DIY生成的的假鑰匙,為什麼毫無障礙的就匹配上了車載系統?
其實,特斯拉的車鑰匙上本來是帶有獨特的密碼證書,以此來驗證真實性。
但是,車上的BCM從頭到尾都沒有檢查過證書。
手腳利索的老哥,從拆儲物盒到開走汽車,也就幾分鐘時間。
這不是第一次了
而這,已經不是特斯拉第一次在無線密鑰上被攻破了。
之前,特斯拉Model S也在密鑰問題上被研究人員攻破過。
先前的特斯拉Model S,是基於加密的密鑰卡代碼來控制車內設備,觸發解鎖並禁用其防盜鎖。
2017年夏天,來自KU Leuven的研究團隊發現:由一家名為Pektron的製造商所生產的特斯拉Model S無線密鑰卡,只使用了一個弱的40位密碼進行加密。
研究人員發現,一旦他們從任何給定的密鑰卡中獲得了兩個代碼,他們就可以以此類推進行嘗試猜測,直到找到解鎖汽車的密鑰。
之後,他們計算可能組合,並整理成表。
有了這張表和這兩個代碼,研究者表示,他們可以在1.6秒內找到正確的密鑰來’偷’你的車。
研究人員在2017年8月將漏洞的研究發現告訴給了特斯拉。特斯拉對他們的研究表示了感謝,並向他們支付了10000美元的“賞金”。
但是,直到2018年下半年的加密升級和添加PIN碼,這個加密隱患才得以解決。
特斯拉怎麼說?
魯汶大學的研究人員已於今年8月17號通知了特斯拉公司該安全問題,特斯拉在確認安全漏洞之後已經開始著手對安全漏洞進行修復。
本週開始,特斯拉將著手進行漏洞的更新修補推送。
這些措施包括兩個方面,一是車鑰匙本身對於固件更新的來源驗證。
第二部分是車輛BCM對鑰匙安全證書的漏檢問題修復。
這些更新會在一個月內陸續覆蓋所有有風險的車型。
發現了此漏洞的研究人員說,特斯拉的無鑰匙進入技術與其他車相比,並沒本質區別。
都是用低頻無線電波(NFC)發送或接受解鎖碼來解鎖車輛。
特斯拉的獨特之處,在於設計了能讓車鑰匙固件接受OTA更新的藍牙部分。
正式在OTA這個節點上的安全漏洞,讓黑客可以輕鬆改寫固件,從而獲取訪問底層安全芯片的權限,生成對應解鎖碼。
而在啟動階段,也缺乏對無線射頻信號來源的有效身份核驗。
同時,在鏈接車輛控制模塊的物理接口上,特斯拉做的,也未免太隨意了。
那麼,沒有藍牙OTA環節的無鑰匙進入,就沒有風險嗎?
也不是。
此前,特斯拉安全部門曾表示,NFC中繼攻擊,幾乎是無解的。
這種方法簡單粗暴,就是在一定範圍內放大車鑰匙的NFC信號,從而解鎖和啟動車輛。
所以,不光是特斯拉,所有採用NFC無鑰匙進入技術的車型,都面臨風險。
以後,還能放心使用無鑰匙進入嗎?