駭客用 600 美元就偷走了一台 Tesla Model S

如果有什麼能被駭客們視為「聖杯」,前撲後繼挖洞不止,特斯拉一定是其中之一。
評論
Photo Credit: Mariordo
Photo Credit: Mariordo
評論

原文來自 Wired《The Wired Guide To Quantum Computing》,本文獲台灣康泰納仕集團授權提供。

如果有什麼能被駭客們視為「聖杯」,前仆後繼挖洞不止,特斯拉一定是其中之一。

一直拿整車 OTA(空中下載技術)當一大賣點的特斯拉在防禦這些駭客攻擊上做了大量創新型努力,不但雇傭了大量頂尖資安工程師,為車輛加入了程式碼完整性檢查,旗下車型的駕駛系統也可以說是全副武裝。

但百密總有一疏,一個「學院派」駭客團隊最近就發現了 Model S 的漏洞,他們能在短時間內秘密複製車輛遙控鑰匙,隨後輕鬆打開車門將這款百萬電動豪華轎跑開走。

這個學院派駭客團隊來自比利時 KU Leuven 大學,本週一在阿姆斯特丹,他們在密碼硬體和嵌入式系統大會上發表了一篇論文,講述自己如何攻破特斯拉 Model S 遙控鑰匙中的加密方案。

整個破解過程只需準備大約 600 美元的無線電和運算裝置,研究人員可以透過這些設備截獲並讀取附近 Model S 使用者遙控鑰匙發出的訊號。接下來僅需 2 秒運算時間,遙控鑰匙的密鑰就能傳到研發人員手上了。下一步就是開車走人,這樣「偷」車不會留下半點蹤跡。

「幾秒之內我們就能複製這些遙控鑰匙。」Lennert Wouters 說道,他也是 KU Leuven 團隊駭客之一。「我們可以完美複製 Model S 的遙控鑰匙並大搖大擺的打開車門將車開走。」

兩周前,特斯拉剛剛為 Model S 推送了新的防盜功能。使用者能設定 PIN 碼,偷車賊必須喚醒中控螢幕才能將車順利開走。此外,特斯拉還表示,今年 6 月後售出的 Model S 根本不受該攻擊影響,他們已對車輛遙控鑰匙的加密系統進行一次針對性升級。

不過,老車主可倒霉了,他們要想防盜,要麼打開螢幕 PIN 碼,要麼就掏錢,更換加密性能更強的遙控鑰匙。

通往王國的鑰匙

與大多數無鑰匙進入系統一樣,特斯拉 Model S 的遙控鑰匙會向車輛發送一串加密代碼以解鎖車輛,這也給 KU Leuven 的團隊留了機會。

只是想完成這個浩大的工程並不容易,學院派駭客們斷斷續續搞了 9 個月的逆向工程,才在去年夏天發現特斯拉 Model S 的無鑰匙進入系統來自名為 Pektron 的製造商,並發現這套系統只用了個超弱的 40-bit 密碼來加密鑰匙代碼。

研究人員發現,只要他們能從鑰匙上拿到兩組代碼,就能嘗試所有可能的密鑰,直到發現能解鎖車輛的那把鑰匙。隨後,他們會對所有可能的密鑰進行計算以製作一個龐大的 6TB 預處理密鑰表。有了這張表和兩個配上對的代碼,他們就能在 1.6 秒內用正確的密鑰打開 Model S。

在概念驗證攻擊中,研究人員展示了自己的無鑰匙系統駭客套件,其中包括一台 Yard Stick One 無線電,一台 Proxmark 無線電,一台樹莓派微型電腦和硬碟上的預處理密鑰表。當然,這個套件也少不了一些供電用的電池。

首先,這群學院派駭客會用 Proxmark 無線電來解碼目標車輛的無線電 ID,這一步他們根本無需接觸車輛,因為 Model S 會不間斷的向外廣播自己的無線電 ID。下一步就稍難了一些,駭客需要將無線電設備放在距目標鑰匙三英尺(約 1 公尺)以內,隨後用車輛的無線電 ID 來「套」遙控鑰匙的回應代碼。這一步他們重復了兩次就搞定了,遙控鑰匙乖乖就發回了代碼。接著,他們會透過硬碟裡的密鑰表來搜尋密鑰,隨後順利解鎖 Model S。

在研究人員看來,這個攻擊鏈能打通主要就是因為 Pektron 的無鑰匙進入系統加密太弱。「特斯拉選擇這牌子的系統真是犯了大錯。」研究人員 Tomer Ashur 說。「有人把事情搞砸了,而且是捅了個大簍子。」

作為有原則的學院派駭客,KU Leuven 團隊其實 2017 年 8 月就將這個問題反映給了特斯拉,特斯拉還發給他們 1 萬美元的獎金。不過,直到今年 6 月的加密升級包推送,特斯拉才給 Model S 又上了把鎖。

在一份聲明中,特斯拉解釋了升級姍姍來遲的原因。他們表示,公司其實已經進了最大努力,漏洞修補是個麻煩事,特斯拉必須先確認研究者的方法是否可行,隨後對升級包進行測試,最終還要整合進他們的製造工藝中。

「現在攻擊被動進入系統的方法越來越多,特斯拉也在不斷努力防止使用者車輛被非法侵入。」特斯拉發言人在聲明中寫著。「知道這種攻擊方法後,我們就與供應商合作加強了 Model S 遙控鑰匙的安全性。」除此之外,特斯拉還表示,使用者能透過手機追蹤自己的車,因此車輛沒那麼容易被盜。

除了特斯拉,研究人員還相信,他們的攻擊方法照樣能搞定麥拉倫和 Karma 的車輛,即使是 TRIUMPH 的摩托車也不在話下,因為它們都用了 Pektron 的遙控鑰匙系統。不過,這些學院派駭客們沒興趣再去搞測試了。

麥拉倫表示它們還在調查這個問題,但已經將風險告知使用者,而且還提供了「訊號阻斷鑰匙袋」,在不用車時保證車輛安全。其他兩家廠商則拒絕對此事發表評論。

放在阻斷袋中只是權宜之計,未來這些廠商將如何修復這項 Bug 還是個未知數。要就人員推測,要想徹底解決問題,廠商只能選擇為使用者更換遙控鑰匙並推送軟體升級。不過,這些廠商可玩不了 OTA 升級,因此大召回恐怕難以避免。

警告訊號

KU Leuven 團隊認為這為特斯拉和其它製造商敲響了一次警鈴。他們也提醒 Model S 使用者趕緊打開 PIN 碼防護,否則可能會遭遇真人版「俠盜獵車手」。Ashur 還警告,「這個問題就擺在那,而我們恐怕不是世界上唯一掌握這項技術的人。」

多年以來,駭客們前赴後繼的對無鑰匙進入系統發動「中繼」攻擊。有時駭客會放大遙控鑰匙的無線電訊號,有時則會透過兩個距離較近的無線電設備將車輛和遙控鑰匙橋接在一起。這些中繼攻擊已經是偷車賊們的拿手好戲,但到底每年有多少車輛因此被盜呢?即使沒有 KU Leuven 團隊的發現,愈演愈烈的中繼攻擊恐怕也會逼迫特斯拉加入 PIN 碼驗證的加密方式。

不過,普通的中繼攻擊效果還是弱了點,它們只能欺騙無鑰匙進入系統一次,即使將車盜走,如果不破壞防盜系統,下次也啓動不了。相比之下,KU Leuven 團隊的攻擊方法更狠,它們能永久性的複製車輛鑰匙。

既然這種攻擊方案已經大白於天下,特斯拉 Model S 車主可得把握升級系統了。雖然在螢幕上輸入 4 位密碼才能啓動車輛相當麻煩,但這也比取車時看到空無一物的車位好吧。


精選熱門好工作

Brand Management

樂購蝦皮股份有限公司
臺北市.台灣

獎勵 NT$15,000

產品經理 / Product Manager

奔騰網路科技有限公司
臺北市.台灣

獎勵 NT$15,000

Software Manual Test 手動測試工程師

樂購蝦皮股份有限公司
臺北市.台灣

獎勵 NT$15,000

評論