德國最具影響力的汽車組織德國汽車俱樂部(簡稱ADAC)近日披露稱,奧迪、寶馬、福特等至少24款車型存在嚴重安全漏洞,這些車鑰匙非常脆弱,易遭到攻擊。
根據美國科技雜誌《連線》報道,ADAC研究者表示,19個汽車製造商的24款車表現出“易受攻擊”狀態。測試車輛在遭到信號加強器“攻擊”後,能夠在車主不知情的情況下擴大其遙控鑰匙的信號範圍,不僅能夠解鎖開啟車輛,甚至啟動點火裝置。
受影響車型
1 雪鐵龍 DS4 Crossback
2 福特Galaxy 和翼搏
3 雷克薩斯 RX 450h
4 奧迪 A3、 A4 和 A6
5 路虎攬勝極光
6 雷諾Traffic
7 現代聖達菲
8 本田 HR-V
9 寶馬730d
10 起亞遠艦
11 大眾高爾夫 7 GTD 和途安 5T
12 雙龍汽車Tivoli XDi
13 斯巴魯LEVORG
14 日産逍客和聆風
15 Mini Clubman
16 歐寶 Ampera
17 馬自達 CX-5
18 豐田 RAV 4
19 三菱歐藍德
易被盜取
遠端操控範圍可擴大
盜車賊百米外能解鎖
根據英國消費産品組織“Which?”資訊,此次ADAC集中將汽車使用遠端解鎖開啟汽車存在嚴重問題曝光。報道指出,這一系統的工作原理就像一個短程無線電廣播發射機,一旦在範圍之內(通常大約為15米),一按按鈕就能解鎖汽車。此次ADAC研究團隊發現,使用一台廉價的功率放大器,就能擴大遠端操作範圍,輕鬆騙過汽車系統認為鑰匙就在車主不遠處,甚至能夠在100米外解鎖汽車,即便中間有圍墻阻隔。
由於這樣的遠端操作能夠開啟汽車點火裝置,因此盜賊可使用相似信號擴大裝置將汽車盜取開走,而無需將車窗砸破或是盜取車主的鑰匙。一旦開啟,汽車能夠被駕駛至燃油用盡或是直到熄火。
ADAC表示,這樣的信號放大設備非常簡單甚至能夠在家製作,或者以低至150英鎊的價格就能在網際網路上購買。而這一非常“基本”的設備被研究者用來測試19大製造商的多款車型,並最終解鎖車輛。
研究者發現,這些鑰匙易受攻擊的問題,從某種程度上助力盜取車輛的行為。鑰匙和車輛之間的遠端操作範圍在被輕易擴大到數百米後,無論車鑰匙是在家中或是在車主口袋裏,盜取車輛的行為都能實現。
詬病多年
5年前問題曾被曝光
研究者:“攻擊”設備更簡單
“Which?”指出,ADAC的測試結果其實並不新穎,早在2011年,瑞士研究學者進行過類似研究。不過,德國研究團隊披露的最新資訊顯示這一問題仍然存在,而汽車製造商們需要增加車鑰匙遠端操作的安全性。
對此,ADAC研究者表示,相比于2011年瑞士學者的研究,他們能夠以更為“廉價”的形式對汽車設備進行攻擊,相比于早前瑞士學者使用的數千美元軟體無線電接收器,他們現在只需花費225美元,就能對車輛進行攻擊,成本大大降低。
此外,相比于瑞士學者,此次研究測試了更大範圍內的汽車型號,並且公佈了具體的製造商和所涉及車輛,並指明哪些車輛已受到攻擊影響。
令ADAC研究者感慨的是,時隔五年,這樣的問題仍然未被修復。研究者相信,數以萬計的車輛對於一些掌握“無線盜竊方法”的竊賊來説,依然存在危險。
行業説法
製造商正採取行動但鑰匙系統脆弱性受質疑
《連線》雜誌詢問歐美汽車製造商行業團體“汽車製造商聯盟”,該聯盟發言人表示,正在研究ADAC的報告,未立即給予評論。德國汽車製造商團體VDA對ADAC的發現不以為然,其指出,在德國被盜竊汽車數量正在下降,汽車製造商們已經採取行動,改善對車輛的保護和免遭盜賊,這些行動是非常有效的。
不過,上述回應無法安撫數百萬車主不安的心。事實上,這些鑰匙系統脆弱性的累加速度,要比他們修復的速度要快。法晚記者發現,2015年資訊安全研究人員披露,126款汽車存在被盜風險,有缺陷的就是其智慧鑰匙。這些汽車的鑰匙晶片使用了過時的加密技術,假設有人監聽晶片的通訊過程(只需兩次),就可以輕易地通過電腦識別其中的模式,複製鑰匙和晶片。這一缺陷早在2012年就已發現。不過,大眾汽車公司通過將三名研究者告上法庭,使得這一問題塵封兩年多。根據法院文件顯示,大眾阻止研究者將其研究向同行學者公開。法院方面最初出於汽車用戶安全考慮對大眾表示支援。
研究報告公佈了存在這一技術缺陷的車輛,包括大眾、奧迪、菲亞特、本田、起亞、沃爾沃等多個車企的多款車型。英國《每日郵報》指出,這其中還有很多豪華車型,如保時捷、瑪莎拉蒂、法拉利。
研究人員測試發現,用不了半小時的時間便發動了汽車。警方也表示,一個有技術頭腦的罪犯只需60秒即可將汽車盜走,在倫敦被盜的車輛中,通過門鎖偷車的比例佔到42%。一名駭客能夠偽裝成代駕盜取大量汽車,或是在將租賃的汽車返還很久之後再次將車輛盜取。
當時大眾回應稱,根據相關研究成果顯示,就一些老款車型(配備的是相關報道中所提及的防盜監控系統)而言,盜竊分子至少需要一套配套的車鑰匙及2次以上成功啟動的記錄才可獲得相關破譯資訊。基於上述事實,被提及車型的防盜性能總體上是安全的。研究同時表明,大眾汽車現有産品的防盜監控系統的安全等級更優。
此外,沃爾沃公司強調這一事件影響的是沃爾沃生産的舊車型,Megamos Crypto防護系統並未在沃爾沃目前生産的汽車上使用。報告中涉及的菲亞特、起亞等企業至今未對這一問題作出任何評論。
教你防盜
鑰匙放進冰箱
攔截信號被接收
《紐約時報》科技專欄作家尼克·比爾頓就曾遭遇車輛被盜問題。他將普銳斯汽車放在位於洛杉磯的家外面,不料汽車多次被盜走。尼克·比爾頓最後總結原因稱,盜賊們肯定加強了自己放置於家中的遙控鑰匙信號,從而成功騙過汽車的無鑰匙進入系統,讓汽車系統誤認為鑰匙就在盜賊手中。而為了解決這一問題,比爾頓乾脆將鑰匙放在了冰箱中。
此外,對於如何避免車鑰匙遠端操控易被攻擊的情況發生,“Which?”建議,除了將車鑰匙盡可能地離汽車遠一些,最好的方法就是將鑰匙放在“ 法拉第籠”內(所謂法拉第籠就是一個用導電材料製作的遮罩電磁場的設備)。這一設備通常用於攔截手機信號的接收,但是這一設備同樣適用於汽車遠端操作發出的廣播信號。
對此,ADAC研究者警告稱,對這一攻擊的修復並沒有汽車製造商們宣稱的那麼簡單。車主們確實可以用尼克·比爾頓提出的方法,將鑰匙放在冰箱或是放在其他“法拉第籠”內。
不過,ADAC研究者蒂姆表示,很難得知需要多少金屬保護,才能完全有效地攔截各種形式加強設備的攻擊。更好的方法是,製造商們對遙控鑰匙建立防禦措施,例如能夠捕捉到遠端攻擊的時間限制。