車子不聯(lián)網(wǎng),黑客怎么破解汽車防盜系統(tǒng)
如果說(shuō)之前黑客遠(yuǎn)程破解汽車的行動(dòng)還沒(méi)能讓你意識(shí)到汽車安全的重要性,那么接下來(lái)的一條消息可能會(huì)讓你意識(shí)到,原來(lái)不能聯(lián)網(wǎng)的車也不是絕對(duì)安全。
在“補(bǔ)天”漏洞響應(yīng)平臺(tái)上,最近就有黑客團(tuán)隊(duì)曝出沃爾沃、比亞迪、別克這三個(gè)品牌部分車輛的防盜系統(tǒng)存在設(shè)計(jì)缺陷,只需要用成本在幾十元的設(shè)備,就能無(wú)限制進(jìn)行開(kāi)關(guān)車門(mén)和后備箱的動(dòng)作。整個(gè)過(guò)程并不需要車輛具備聯(lián)網(wǎng)功能,只要是利用車鑰匙遙控開(kāi)關(guān)車門(mén),就有潛在的風(fēng)險(xiǎn)。
車子不聯(lián)網(wǎng),黑客怎么能破解防盜系統(tǒng)呢?是不是就是我們常說(shuō)的那種“鎖車干擾”?事情當(dāng)然沒(méi)那么簡(jiǎn)單。
發(fā)現(xiàn)這一漏洞的是來(lái)自“神話團(tuán)隊(duì)”鬼斧實(shí)驗(yàn)室的一名18歲黑客。在發(fā)現(xiàn)漏洞的分享會(huì)上,我也了解到整個(gè)破解流程。由于關(guān)系到很多車輛的安全,因此相關(guān)核心漏洞需要保密。
問(wèn)題的關(guān)鍵在“同步值”
雖然核心漏洞不能透露,但整個(gè)破解原理并不復(fù)雜(只是很枯燥):黑客通過(guò)對(duì)汽車遙控鑰匙的無(wú)線信號(hào)進(jìn)行監(jiān)聽(tīng)獲取,并將信號(hào)按照特定的機(jī)制發(fā)送,就能夠無(wú)限次的重現(xiàn)遙控車鑰匙的功能。
黑客能夠捕捉信號(hào)再發(fā)送給汽車進(jìn)行破解,主要是因?yàn)檫@幾款車的防盜系統(tǒng)都使用HCS滾碼芯片和keeloq算法。這是在上世紀(jì)80年代美國(guó)一家公司推出的一種加密解密技術(shù)算法,具有安全性高的特點(diǎn),主要應(yīng)用于汽車防盜系統(tǒng)和門(mén)禁系統(tǒng),是無(wú)鑰進(jìn)入系統(tǒng)領(lǐng)域的首選芯片。
換個(gè)容易聽(tīng)懂的說(shuō)法,HCS滾碼芯片和keeloq算法是目前很多汽車和門(mén)禁遙控鑰匙采取的軟硬件解決方案,一旦被破解很容易引發(fā)大規(guī)模安全問(wèn)題。
回到這次破解,車主每次按下鑰匙的鎖車鍵、開(kāi)車鍵都會(huì)觸發(fā)一次新的信號(hào)發(fā)出,車輛在收到信號(hào)后快速計(jì)算,決定是否打開(kāi)車門(mén)。在這個(gè)命令的代碼中,包含每輛車和鑰匙的唯一且固定的識(shí)別碼(序列號(hào)),以及每次命令加密過(guò)的同步值(每次操作之后同步值自動(dòng)+1)。
鑰匙每發(fā)出一次命令,鑰匙和汽車都會(huì)對(duì)同步值進(jìn)行保存記錄,汽車接收到命令后,必須對(duì)同步值進(jìn)行檢驗(yàn)才會(huì)進(jìn)行下一步操作。打個(gè)比方說(shuō),車鑰匙發(fā)出同步值為“11”的信號(hào),車內(nèi)保存信號(hào)為“10”,車輛檢驗(yàn)兩者信號(hào)差在某個(gè)范圍內(nèi)即可開(kāi)門(mén)(防止用戶可能無(wú)意中按過(guò)開(kāi)關(guān)導(dǎo)致同步值不統(tǒng)一,但差值不會(huì)太大)。
這個(gè)計(jì)算既有10進(jìn)制算法、又有16進(jìn)制算法,兩者算法需要經(jīng)過(guò)多次換算。程序員編寫(xiě)程序時(shí)候出現(xiàn)了一個(gè)明顯漏洞,只要接收到兩個(gè)連續(xù)的開(kāi)鎖命令(比如10和11),系統(tǒng)就無(wú)法識(shí)別是否為當(dāng)前鑰匙所發(fā)送的命令,就會(huì)默認(rèn)執(zhí)行。
千言萬(wàn)語(yǔ)匯成一句話,一旦黑客獲取到連續(xù)兩個(gè)同步值的命令(這需要車主在特定時(shí)間長(zhǎng)度內(nèi)連續(xù)發(fā)送兩次命令),就能利用這個(gè)漏洞無(wú)限制的模擬實(shí)現(xiàn)車鑰匙的功能,車也就被黑了。
危害性大嗎?
在破解現(xiàn)場(chǎng),我們還經(jīng)歷了一段比較有意思的“意外”。由于受到不知名的干擾,接收器對(duì)于車輛發(fā)出的命令多次嘗試仍然不成功,最后才發(fā)現(xiàn)是由于投影儀的遙控器的信號(hào)影響了破解設(shè)備的運(yùn)作。從這一點(diǎn)我們可以看出,這套破解設(shè)備對(duì)于外界環(huán)境的抗干擾能力很低,需要在比較理想的情況下才能實(shí)現(xiàn)破解。
由于是對(duì)整段命令進(jìn)行獲取,所以黑客無(wú)法分析每輛車和鑰匙獨(dú)有的識(shí)別碼。因此目前這樣的破解只是針對(duì)特定的單一車輛,還不能對(duì)同一車型做出無(wú)差別破解。
對(duì)于這個(gè)漏洞,“神話行動(dòng)”負(fù)責(zé)人王英健介紹,已經(jīng)在沃爾沃2008款XC90、比亞迪F0、別克君威等部分款式車輛中發(fā)現(xiàn),但目前尚不清楚受到影響的車輛總數(shù)。由于是軟硬件問(wèn)題,所以車主只能將車輛開(kāi)回原廠或者4S店進(jìn)行防盜系統(tǒng)更換或升級(jí)。而且使用HCS滾碼芯片和keeloq算法的車輛時(shí)間跨度很長(zhǎng),有些車型已經(jīng)很難進(jìn)行維護(hù)。
再來(lái)說(shuō)說(shuō)這種破解方式和“鎖車干擾”方式的區(qū)別。其實(shí)這個(gè)技術(shù)在“鎖車干擾”之上獲取了更多的權(quán)限,用戶在毫無(wú)知覺(jué)甚至是確保門(mén)已經(jīng)鎖好的情況下,還是無(wú)法避免被黑客竊取信號(hào)進(jìn)行破解。
只要一旦能夠在車主不知情的情況下進(jìn)入車?yán)?,那可以造成的隱私泄露、財(cái)產(chǎn)損失的危害就很不可控了。而且黑客還能利用漏洞進(jìn)行鎖車,讓車主無(wú)法察覺(jué)車輛是否被入侵。
真是“防不勝防”……