淺談數字車鑰匙的潛在安全風險
現在,你可以在沒有鑰匙扣的情況下遠程解鎖你的汽車,前提是你有一部智能手機和一輛兼容的汽車。蘋果在2020年更新了其錢包生態系統,其允許用戶將他們的數字汽車鑰匙添加到裡面。
這意味著用戶可以通過自己的iPhone或Apple Watch遠程訪問自己的汽車並將其訪問權授予自己的配偶、保姆或客人。Google同樣也讓Android用戶有可能使用Pixel 6系列的手機或任何運行Android 12的設備來解鎖和啟動他們的汽車。
數字汽車鑰匙非常方便,尤其是因為只需要在智能手機上進行面部識別或輸入密碼就可以鎖定、解鎖或啟動汽車。然而儘管數字汽車鑰匙易於使用,但它可能會打開一個會讓情況失控的潘多拉盒子。
數字車鑰匙更安全,但有潛在的安全缺陷
根據Tracker的數據,2020年它找回的車輛中至少有93%是通過中繼攻擊被盜的。這通常發生在偷車賊使用黑客設備攔截鑰匙扣的RFID信號以進入車輛。然而汽車連接聯盟(Car Connectivity Consortium)的最新數字汽車鑰匙規格使用了超寬帶(UWB)技術,這使得其對中繼攻擊具有免疫力。跟RFID信號不同的是,UWB技術在計算智能手機數字汽車鑰匙的接近度方面更加精確。
儘管有安全方面的好處,但並非所有跟數字車鑰匙兼容的汽車都部署了UWB技術。一些汽車製造商如特斯拉、現代和林肯使用的是依靠藍牙低能量(BLE)或近場通信(NFC)系統的數字汽車鑰匙。這當中有什麼區別呢?跟UWB技術相比,使用BLE技術的數字汽車鑰匙可以在更遠的範圍內跟自己的汽車進行通信。而另一方面,如果使用一部採用了NFC技術的智能手機,那麼使用者需要把它放在離車門幾厘米遠的地方才能解鎖。另外,NFC技術使數字車鑰匙在電池耗盡的情況下也能使用。
由於採用BLE的數字車鑰匙比UWB技術的傳輸距離更遠,所以它們更容易受到安全漏洞的影響。但如果數字汽車鑰匙同時支持UWB、BLE和NFC,那麼這個潛在的安全缺陷就可以得到解決。問題是,大多數汽車可能還需要一段時間才能兼容UWB技術,因為跟BLE系統相比,它的安裝成本更高。
數字車鑰匙還沒有被黑掉
儘管數字車鑰匙有潛在的安全缺陷,但我們還沒有遇到一個可靠的新聞來源宣稱一輛汽車在其數字車鑰匙被遠程入侵後被盜。Pwn2Own是一項最受歡迎的網絡安全競賽之一,它向任何能通過代碼執行入侵特斯拉Model 3的智能手機數字汽車鑰匙的人提供10萬美元的獎勵。儘管有獎金,但在比賽期間沒有人成功入侵特斯拉Model 3的數字車鑰匙,不過因為網絡瀏覽器的故障,該車的信息娛樂系統曾被入侵過。
在證明這一點之前,可以推斷,最大的潛在安全風險是有人偷了智能手機,然後用它來訪問汽車。如果發生這種情況,人們可以選擇追踪丟失的智能手機或停用數字汽車鑰匙。雖然數字汽車鑰匙可能存在一些缺陷–至少是那些只使用NFC或BLE的數字汽車鑰匙–但就目前而言,它們似乎是一種合理的安全方式來保護汽車。