---

??新智元報(bào)道??

編輯：袁榭 拉燕

?

黑進(jìn)特斯拉車(chē)鑰匙，近年成了一個(gè)白帽黑客界的大眾攻關(guān)課題。幾乎每年每個(gè)型號(hào)，都會(huì)爆出鑰匙卡被攻破的消息。

?

當(dāng)然，這不是沒(méi)有理由的。因?yàn)槊啃脊テ埔淮?，特斯拉大都?huì)給取得突破的白帽黑客發(fā)錢(qián)……

?

?

2022年5月，英國(guó)網(wǎng)安人十秒黑掉特斯拉Model Y鑰匙??

?北京時(shí)間5月17日消息，英國(guó)曼徹斯特安全公司NCC Group的首席安全顧問(wèn)Sultan Qasim Khan表示，特斯拉Model 3和Model Y的無(wú)線鑰匙的漏洞，將允許竊賊輕松解鎖汽車(chē)、開(kāi)走逃逸。

?

通過(guò)重定向車(chē)主的手機(jī)或無(wú)線遙控鑰匙與汽車(chē)之間的通信，外人可以欺騙特斯拉汽車(chē)的安全系統(tǒng)，使其認(rèn)為車(chē)主就在汽車(chē)附近。

?

Khan稱，雖然他是在一款特斯拉車(chē)型上演示了這項(xiàng)技術(shù)，但是該入侵技術(shù)并不是專門(mén)針對(duì)特斯拉的。

?

相反，這是他對(duì)特斯拉的無(wú)線鑰匙系統(tǒng)進(jìn)行修補(bǔ)的結(jié)果，該系統(tǒng)依賴于「低能耗藍(lán)牙」 (BLE) 協(xié)議。

?

沒(méi)有證據(jù)表明竊賊利用這一入侵技術(shù)不正當(dāng)?shù)剡M(jìn)入特斯拉汽車(chē)。特斯拉尚未置評(píng)。

?

在給彭博社記者做展示時(shí)，Khan用「回放攻擊」成功地黑掉了特斯拉的車(chē)鑰匙。

?

其他蟊賊用更低端的同類方法偷車(chē)時(shí)被拍到

?

Khan先把首個(gè)信號(hào)轉(zhuǎn)接的重放器置于特斯拉車(chē)鑰匙15碼內(nèi)，然后再將第二個(gè)重放器接入自己的筆記本電腦。

?

如此，Khan就能把自己用花50美元在網(wǎng)上買(mǎi)的的藍(lán)牙定制套裝編寫(xiě)的惡意代碼，上載到特斯拉車(chē)鑰匙中。

?

十秒鐘內(nèi)，就能黑掉特斯拉的車(chē)鑰匙。

?

而兩個(gè)重放器也就只值50美元。

?

Khan表示，「我把這種潛在的可能性公開(kāi)了。但是特斯拉好像并不覺(jué)得這算得上是風(fēng)險(xiǎn)。」

?

如果想修復(fù)這個(gè)問(wèn)題，特斯拉就得把他們的硬件設(shè)施打好補(bǔ)丁，然后再把無(wú)線鑰匙的系統(tǒng)優(yōu)化。

?

BLE協(xié)議的設(shè)計(jì)初衷，是為了讓不同設(shè)備在網(wǎng)絡(luò)上能更加便捷地連接。

?

?

然而，這反倒成為了黑客解鎖智能技術(shù)裝置的「一把鑰匙」。

?

無(wú)論是房門(mén)、車(chē)門(mén)、手機(jī)還是筆記本電腦，黑客都能靠著B(niǎo)LE一網(wǎng)打盡。

?

利用這種能力，黑客甚至還能攻擊別的汽車(chē)制造商或是科技公司的產(chǎn)品。

?

比利時(shí)黑客特斯拉三連黑

2018年1.6秒黑進(jìn)Model S鑰匙

?

這不是特斯拉的車(chē)鑰匙第一次被黑了，很可能也不是最后一次。

?

自2018年開(kāi)始，比利時(shí)魯汶大學(xué)電子工程系的「計(jì)算機(jī)安全與工業(yè)加密學(xué)」（COSIC）小組，就把黑掉特斯拉車(chē)鑰匙作為一個(gè)小組項(xiàng)目來(lái)做，屢有斬獲。

?

2017-2018年間，COSIC小組的研究者們發(fā)現(xiàn)，為特斯拉制造無(wú)線車(chē)鑰匙設(shè)備固件的廠商Pektron，給開(kāi)鎖信號(hào)的加密程度是40位密鑰加密。

?

這種程度的加密，在1990年代末就不能算特別艱深了。研究者窮舉了所有可能的兩步密鑰組合后，文件大小也就6T左右。

?

將這個(gè)密鑰組合文件加載在樹(shù)莓派迷你電腦板上，樹(shù)莓派再搭上倆無(wú)線電模塊，就齊活了。

?

?

此套裝總計(jì)軟硬件成本不超過(guò)6百美元，就能在1.6秒內(nèi)成功無(wú)痕跡對(duì)齊密鑰、突破加密，偽裝特斯拉Model S鑰匙，開(kāi)走近十萬(wàn)美元售價(jià)的車(chē)。

?

特斯拉為COSIC小組找出并申報(bào)的這個(gè)設(shè)備漏洞，在2018年9月獎(jiǎng)勵(lì)了他們一萬(wàn)美元。

?

2019年再次黑進(jìn)Model S鑰匙

?

2019年，比利時(shí)魯汶大學(xué)的研究人員表示，他們又一次成功攻破了特斯拉Model S的無(wú)線鑰匙。

?

2019年8月，該大學(xué)COSIC小組的主要成員Lennert Wouters再次聲明，稱他們?cè)O(shè)法利用了一個(gè)系統(tǒng)漏洞，繞過(guò)了特斯拉最初的弱點(diǎn)補(bǔ)丁，能夠再次黑掉無(wú)線鑰匙、開(kāi)走鎖上的Model S。

?

Wouters表示，不論補(bǔ)丁前還是補(bǔ)丁后，鑰匙的密鑰卡都是Pektron公司生產(chǎn)的，而固件加密系統(tǒng)里有個(gè)配置錯(cuò)誤。黑客想黑進(jìn)去比原來(lái)還要容易得多。

?

研究者現(xiàn)場(chǎng)作案實(shí)驗(yàn)

?

特斯拉和Pektron應(yīng)對(duì)2018年攻破的補(bǔ)丁方法，是把40位的密鑰換成了80位。看上去足足長(zhǎng)了一倍，在數(shù)學(xué)理論上本該使破解難度提高一萬(wàn)億倍。

?

但是COSIC小組卻發(fā)現(xiàn)，因?yàn)樯鲜黾用芟到y(tǒng)漏洞的存在，就算是80位密鑰，也可以很容易地拆分成兩組40位的分別密鑰逐個(gè)破解。

?

這相當(dāng)于，把本該上升一萬(wàn)億倍的破解難度，降低成了上升2倍。

?

2020年11月，1.5分鐘黑進(jìn)特斯拉Model X鑰匙

?

可能是食髓知味、越玩越爽停不下來(lái)，2020年11月，COSIC小組和帶頭研究者Lennert Wouters又宣布把特斯拉Model X的車(chē)鑰匙給黑了。

?

當(dāng)然，Model X的各方面性能都更強(qiáng)些，找不到Model S那種搞笑漏洞了。不過(guò)防護(hù)就是用來(lái)被攻破的，既然密鑰難以直接硬破，那么就從其他組件下手。

?

這次COSIC小組用的攻破路徑是Model X二手車(chē)上拆下來(lái)的舊「電控單元」元件（ECU），這種元件在各種網(wǎng)店和到處的實(shí)體店里都有賣(mài)。

?

Model X車(chē)鑰匙的密鑰卡當(dāng)時(shí)沒(méi)有用于固件更新的「代碼簽名」。如果車(chē)主通過(guò)藍(lán)牙獲得無(wú)線更新，系統(tǒng)無(wú)法確認(rèn)固件代碼是否是「來(lái)自特斯拉的不可偽造的加密簽名」，從而讓固件有被惡意重寫(xiě)的可能。

?

開(kāi)車(chē)實(shí)驗(yàn)的記錄視頻截圖

?

COSIC小組先拿改裝過(guò)的舊ECU與目標(biāo)Model X車(chē)輛的車(chē)鑰匙配對(duì)。做到這點(diǎn)并不難，只消接近到目標(biāo)鑰匙周?chē)?米內(nèi)，停滯短暫時(shí)間就好。

?

配對(duì)結(jié)束后，改裝過(guò)的舊ECU可以對(duì)無(wú)線車(chē)鑰匙上載惡意代碼、重寫(xiě)固件驅(qū)動(dòng)。雖然上載過(guò)程需要1.5分鐘，但距離可以拉長(zhǎng)至30米內(nèi)，降低了受害者發(fā)覺(jué)的可能。

?

重寫(xiě)完成后，Model X的車(chē)鑰匙就被成功黑掉了。黑客可以從中讀取出解密開(kāi)鎖的數(shù)據(jù)段并打開(kāi)車(chē)門(mén)。不過(guò)由于Model X的設(shè)置，一時(shí)還開(kāi)不走。

?

不過(guò)不要緊，此時(shí)拿特斯拉維修工們常用的診斷轉(zhuǎn)接器，連上之前用的舊ECU，再把車(chē)子配對(duì)上自己的克隆鑰匙，就能揚(yáng)長(zhǎng)而去了。

?

全套攻破套裝，從樹(shù)莓派電腦板載體、到舊ECU、再到電池等等，總共也就值195美元。

?

?

特斯拉的車(chē)越做越壕，但好像偷走它們的成本也越來(lái)越低了。

?

Lennert Wouters表示，在2020年8月，COSIC小組就把這個(gè)漏洞按特斯拉自己的流程申報(bào)給他們了，特斯拉很快就做了補(bǔ)丁更新。

?

2022年1月，德國(guó)小哥連黑25輛特斯拉

2022年1月，19歲德國(guó)黑客David Colombo突然發(fā)推宣布，自己成功地控制了10個(gè)國(guó)家的20多輛特斯拉的。

?

隨后，這個(gè)數(shù)字很快就增加到了13個(gè)國(guó)家和超過(guò)25輛特斯拉。

?

據(jù)稱在上報(bào)漏洞后，David Colombo也拿到了特斯拉給的1.5萬(wàn)美元「抓蟲(chóng)賞金」。

?

?

簡(jiǎn)而言之，他通過(guò)攻破了特斯拉的自托管開(kāi)源服務(wù)器，結(jié)合「默認(rèn)密碼憑證沒(méi)改」這一自古以來(lái)的數(shù)碼系統(tǒng)漏洞，能遠(yuǎn)程讓被黑掉的特斯拉汽車(chē)執(zhí)行：

?

??? 解鎖車(chē)門(mén)

??? 打開(kāi)車(chē)窗

??? 啟動(dòng)無(wú)鑰匙駕駛

??? 分享視頻到特斯拉

??? 調(diào)整空調(diào)模式和溫度

??? 控制喇叭和燈光

?

David Colombo表示，雖然沒(méi)有取得任何轉(zhuǎn)向、加速、剎車(chē)和其他駕駛動(dòng)作的權(quán)限，不過(guò)理論上可以通過(guò)漏洞開(kāi)啟召喚模式讓車(chē)輛自動(dòng)移動(dòng)。

?

不過(guò)，做到這些就很可怕了。

?

想想看，某日風(fēng)和日麗，又沒(méi)被全域靜止。

?

特斯拉車(chē)主你開(kāi)著一輛嶄新的特斯拉行駛在高速路上。

?

輔助駕駛完美地保持著車(chē)速，全身放松的車(chē)主正在享受這美好的駕駛體驗(yàn)。

?

車(chē)內(nèi)的音響突然以爆炸般的音量瘋狂輸出Rick Astley的「Never Gonna Give You Up」。

參考資料：

https://www.wired.com/story/tesla-model-x-hack-bluetooth/
https://www.wired.com/story/hackers-steal-tesla-model-s-seconds-key-fob/
https://www.wired.com/story/hackers-steal-tesla-model-s-key-fob-encryption/
https://www.bloomberg.com/news/articles/2022-05-16/hacker-shows-off-a-way-to-unlock-tesla-models-start-the-engine