600 美元秒開特斯拉 Model S，這幫「學院派」黑客可真牛

如果有什麼能被黑客兄弟們視為「聖物」，前仆後繼，挖洞不止，特斯拉一定算一個。

一直拿整車 OTA （空中下載技術）當一大賣點的特斯拉在防禦這些「天殺的」黑客攻擊上做了大量創新，不但僱傭了大量頂尖安全工程師，為車輛加入了代碼完整性檢查，旗下車型的駕駛系統也可以說是武裝到了牙齒。

不過，百密總有一疏，一個「學院派」黑客團隊最近就發現了 Model S 的漏洞，他們能在短時間內秘密克隆車輛遙控鑰匙，隨後輕鬆打開車門將這款百萬電動豪華轎跑開走。

這個「學院派」黑客團隊來自比利時 KU Leuven 大學，本周一在阿姆斯特丹，他們在密碼硬體和嵌入式系統大會上發表了一篇論文，講述自己如何攻破特斯拉 Model S 遙控鑰匙中的加密方案。

整個破解過程只需準備大約 600 美元（約合 4120 員）的無線電和計算設備，研究人員可以通過這些設備截獲並讀取附近 Model S 用戶遙控鑰匙發出的信號。隨後就是不超過 2 秒鐘的計算時間，遙控鑰匙的密匙就能傳到研發人員手上了。下一步就是開車走人，這樣「偷」車不會留下半點蹤跡。

「幾秒之內我們就能克隆這些遙控鑰匙。」 Lennert Wouters 說道，他也是「學院派」黑客之一。「我們可以完美複製 Model S 的遙控鑰匙並大搖大擺的打開車門將車開走。」

兩周前，特斯拉剛剛為 Model S 推送了新的防盜功能。用戶能設定 PIN 碼，偷車賊必須激活中控屏才能將車順利開走。此外，特斯拉還表示，今年 6 月後售出的 Model S 根本不受該攻擊影響，它們對車輛遙控鑰匙的加密系統進行了針對性升級。

不過，老車主可倒霉了，他們要想防盜，要麼打開屏幕 PIN 碼，要麼就掏錢更換加密性能更強的遙控鑰匙。

王國的鑰匙

與大多數無鑰匙進入系統一樣，特斯拉 Model S 的遙控鑰匙會向車輛發送一串加密代碼以解鎖車輛，這也給 KU Leuven 的團隊留了機會。

只是想完成這個浩大的工程並不容易，「學院派「黑客們斷斷續續搞了 9 個月的逆向工程，才在去年夏天發現特斯拉 Model S 的無鑰匙進入系統來自名為 Pektron 的製造商，這套系統只用了個超弱的 40-bit 密碼來加密鑰匙代碼。

研究人員發現，只要他們能從鑰匙上拿到兩組代碼，就能嘗試所有可能的密匙，直到發現能解鎖車輛的那把鑰匙。隨後，他們會對所有可能的密匙進行計算以製作一個龐大的 6TB 預計算密匙表。有了這張表和兩個配上對的代碼，他們就能在 1.6 秒內用正確的密匙打開 Model S。

在概念驗證攻擊中，研究人員展示了自己的無鑰匙系統黑客套件，其中包括一台 Yard Stick One 無線電，一台 Proxmark 無線電，一台樹莓派微型電腦和硬碟上的預計算密匙表。當然，這個套件也少不了一些供電用的電池。

首先，這幫「學院派」黑客會用 Proxmark 無線電來解惑目標車輛的無線電 ID，這一步他們根本無需接觸車輛，因為 Model S 會不間斷的向外廣播自己的無線電 ID。下一步就稍難了一些，黑客需要將無線電設備放在據目標鑰匙三英尺（1 米以內）以內，隨後用車輛的無線電 ID 來「套」遙控鑰匙的回應代碼。這一步他們重複了兩次就搞定了，遙控鑰匙乖乖就發回了代碼。接著，他們會通過硬碟里的密匙表來搜尋密匙，隨後順利解鎖 Model S。

在研究人員看來，這個攻擊鏈條能打通主要就是因為 Pektron 的無鑰匙進入系統加密太弱。「特斯拉選擇這牌子的系統真是犯了大錯。」研究人員 Tomer Ashur 說道。「有些人把事情搞砸了，而且是通了個大簍子。」

作為有節操的「學院派」黑客，KU Leuven 團隊其實 2017 年 8 月就將這個問題反映給了特斯拉，特斯拉還給他們發了 1 萬美元的獎金。不過，直到今年 6 月的加密升級包推送，特斯拉才給 Model S 又上了把鎖。

在一份聲明中，特斯拉解釋了升級包姍姍來遲的原因。它們表示，公司其實已經進了最大努力，漏洞修補是個麻煩事，特斯拉必須先確認研究者的方法是否可行，隨後對升級包進行測試，最終還要整合進它們的製造工藝中。

「現在攻擊被動進入系統的方法越來越多，特斯拉也在不斷努力防止用戶車輛被非法侵入。」特斯拉發言人在聲明中寫道。「獲知這種攻擊方法後，我們就與供應商合作加強了 Model S 遙控鑰匙的安全性。」除此之外，特斯拉還表示，用戶能通過手機追蹤自己的車，因此車輛沒那麼容易被盜。

除了特斯拉，研究人員還相信，他們的攻擊方法照樣能搞定邁凱倫和 Karma 的車輛，即使是凱旋的摩托車也不在話下，因為它們都用了 Pektron 的遙控鑰匙系統。不過，這些「學院派」黑客們沒興趣再去搞測試了。（邁凱倫 Karma：不想說話；特斯拉：呵呵）

邁凱倫表示它們還在調查該問題，但已經將風險告知用戶，而且還提供了「信號阻斷鑰匙袋」，在不用車時保證車輛安全。其他兩家廠商則拒絕對此事發表評論。

放在信號阻斷袋裡只是權宜之計，未來這些廠商將如何修復這一 Bug 還是個未知數。要就人員推測，要想徹底解決問題，廠商只能選擇為用戶更換遙控鑰匙並推送軟體升級。不過，這些廠商可玩不了 OTA 升級，因此大召回恐怕難以避免。

警告信號

KU Leuven 團隊認為，這一發現為特斯拉和其它製造商敲響了警鐘。他們也提醒 Model S 用戶趕緊打開 PIN 碼防護，否則可能會遭遇真人版「俠盜獵車手」。Ashur 還警告道，「這個問題就擺在那，而我們恐怕不是世界上唯一掌握這項技術的人。」

多年以來，黑客們前赴後繼的對無鑰匙進入系統發動「中繼」攻擊。有時黑客會放大遙控鑰匙的無線電信號，有時則會通過兩個距離較近的無線電設備將車輛和遙控鑰匙橋接在一起。這些中繼攻擊已經是偷車賊們的拿手好戲，但到底每年有多少車輛因此被盜，現在還是筆糊塗賬。即使沒有 KU Leuven 團隊的發現，愈演愈烈的中繼攻擊恐怕也會逼迫特斯拉加入 PIN 碼驗證的加密方式。

不過，普通的中繼攻擊效果還是弱了點，它們只能欺騙無鑰匙進入系統一次，即使將車盜走，如果不破壞防盜系統，下次也啟動不了。相比之下，KU Leuven 團隊的攻擊方法更狠，它們能永久性的克隆車輛鑰匙。

既然這種攻擊方案已經大白於天下，特斯拉 Model S 車主可得抓緊升級系統了。雖然在屏幕上輸入 4 位密碼才能啟動車輛相當麻煩，但這也比取車時看到空空的車位好吧。

雷鋒網宅客頻道（微信公眾號：letshome），專註先鋒技術，講述黑客背後的故事，歡迎關注雷鋒網宅客頻道。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！