美國有線電視新聞網近日消息，資訊安全研究人員披露，這些汽車的鑰匙晶片使用了過時的加密技術，假設有人監聽晶片的通訊過程(只需兩次)，就可以輕易地通過電腦識別其中的模式，複製鑰匙和晶片。這一缺陷早在2012年就已發現。不過，大眾汽車公司通過將三名研究者告上法庭，使得這一問題塵封兩年多。

　　研究報告公佈了存在這一技術缺陷的車輛，包括大眾、奧迪、菲亞特、本田、起亞、沃爾沃等多個車企的多款車型。英國《每日郵報》指出，這其中還有很多豪華車型，如保時捷、瑪莎拉蒂、法拉利。

　　荷蘭內梅亨大學的洛爾·維爾杜特為三名研究者之一，今晨接受法晚記者採訪時稱，這一漏洞有點像你設置的密碼就是“密碼”兩字。

　　隱患不小

　　科學家稱車鑰匙加密技術過時 晶片易被複製

　　過去，竊賊使用電線手動開啟一輛汽車，如今汽車鑰匙中配有相關的電腦晶片，其在工作時向汽車發送正確代碼，汽車才能夠發動。這從某種程度上阻止了單純複製鑰匙便開啟汽車的竊賊。

　　然而，本以為是萬無一失的安全保護措施，卻被科學家們發現了晶片中存在嚴重的漏洞。根據研究，汽車鑰匙的晶片使用了過時的加密技術，通過監聽其通訊過程(只需兩次)，就可以輕易地通過電腦識別其中的模式，複製鑰匙和晶片。

　　研究人員測試發現，用不了半小時的時間便發動了汽車。警方也表示，一個有技術頭腦的罪犯只需60秒即可將汽車盜走，在倫敦被盜的車輛中，通過門鎖偷車的比例佔到42%。一名駭客能夠偽裝成代駕盜取大量汽車，或是在將租賃的汽車返還很久之後再次將車輛盜取。(法制晚報微信公號：fzwb_52165216)

　　涉及品牌

　　大眾、本田、保時捷上“風險榜” 缺陷隱瞞兩年

　　三名歐洲電腦安全科學家2012年就發現了這一缺陷，他們同時警告汽車製造商問題所在。

　　英國《每日郵報》報道指出，受影響車輛包括大眾、本田、起亞、沃爾沃等汽車品牌的多個車型，其中不乏豪華車型，如保時捷、瑪莎拉蒂等。“一個更好的加密技術，會使破解代碼成為不可能。”研究者對於一些豪華汽車也使用這樣的過時加密技術感到吃驚，並表示消費者往往希望在價格昂貴的汽車上有其他更好的選擇。

　　報道稱，上述車型都依賴瑞士EM Microelectronic晶片。在漏洞發現後，研究人員立即通知了汽車廠商，並給其9個月的時間去修復，解決之後便把晶片的漏洞公之於眾。

　　然而，2013年，大眾汽車將研究者所在的大學以及三名研究者告上法庭。根據法院文件顯示，大眾阻止研究者將其研究向同行學者公開。法院方面最初出於汽車用戶安全考慮對大眾表示支援。

　　直到日前，研究者同意隱去報告中的一些關鍵資訊，雙方才最終達成和解。隱去的細節問題能夠使得一個非技術人員都可以進行“攻擊”行為。

　　公司回應

　　大眾：願意更新軟體

　　已量産車輛硬體換不了

　　今天上午，大眾汽車集團(中國)公關傳播部劉香向法晚記者發送了大眾汽車針對此事的官方聲明。聲明稱，內梅亨大學和伯明翰大學的研究人員及其他科學家對防盜監控系統的弱點等安全技術進行分析研究工作，根據相關研究成果顯示，就一些老款車型(配備的是相關報道中所提及的防盜監控系統)而言，盜竊分子至少需要一套配套的車鑰匙及2次以上成功啟動的記錄才可獲得相關破譯資訊。基於上述事實，被提及車型的防盜性能總體上是安全的。研究同時表明，大眾汽車現有産品的防盜監控系統的安全等級更優。

　　大眾表示，大眾汽車一直致力於將最尖端的技術成果應用到車輛電子和機械安全系統中，確保其始終處於最先進的狀態。大眾汽車一直致力於在其産品中應用最先進的安全技術並不斷研發改進，如有必要，會為客戶的車輛進行軟體更新。通常來説，已經量産的車輛無法進行硬體更換。

　　此外，沃爾沃公司強調這一事件影響的是沃爾沃生産的舊車型，Megamos Crypto防護系統並未在沃爾沃目前生産的汽車上使用。報告中涉及的菲亞特、起亞等企業至今未對這一問題作出任何評論。(法制晚報微信公號：fzwb_52165216)

　　對話研究者

　　問題已存在17年 “讓事實成秘密我們非常吃驚”

　　法晚：為何進行這樣的研究？

　　維爾杜特：汽車的加密技術簡單來看，就是一個鎖和一把有秘密代碼的鑰匙。從表面看，我們發現鑰匙有96個刻痕，但是車鎖只能夠支援它們中的56個，這意味著這把鎖是非常脆弱的。而且，我們發現很多汽車使用的是更加脆弱的密碼代碼，有時候使用的密碼，就好比是用“密碼”兩字當做真正的密碼！

　　因此，一名攻擊者只需很短的時間(大約數分鐘)，就能侵入汽車和其鑰匙系統，竊聽它們之間的通訊內容。攻擊者通過竊聽獲得大量的數據，因而能夠在數天內計算出密碼代碼，並能夠返回其要攻擊的目標車輛，使用複製的電子鑰匙開啟汽車。

　　法晚：這一缺陷存在很久了？

　　維爾杜特：汽車安全系統應該被設計得更加完善。我們發現的問題屬於設計問題，而且自1998年起就存在。如果關於設計方面的發現能夠被公開討論，很有可能像這樣不安全的系統就不大可能被安裝在汽車上。

　　法晚：那如何看待大眾要求不公開研究中的關鍵資訊？

　　維爾杜特：對於大眾能夠勸服法官下達禁令，讓這些事實成為秘密，我們感到非常吃驚。其實，對於英國法院發出的禁令，荷蘭內梅亨大學和英國伯明翰大學立即發起挑戰，因為首先研究者使用的關於晶片的數據是完全合法的，其次，在建議公開研究成果前的9個月，製造商已經被通知該問題。

　　此外，這一研究是關於汽車所用晶片安全水準的科研分析，而非駭客行為。內梅亨大學作為強烈的抗辯者，相信汽車持有者有權知道其汽車安全性如何以及弱點所在。

　　法晚：汽車安全系統有無其他選擇？

　　維爾杜特：自2007年起就有其他的安全保護系統可以選擇，這些安全系統擁有更加安全的程式保護(如AES)。但是讓我們意外的是，價格昂貴的汽車竟然也使用一些不安全的晶片來保護汽車。

　　我們在2012年11月就通知了晶片製造商，也與他們和汽車製造商的電子技術防盜系統製造商一起合作，增加安全性和減少問題的發生。但是關於這一問題的最好解決方案是使用更加安全的加密演算法。

　　追訪專家

　　系統升級可解決問題

　　涉及車多、成本很高

　　對於研究者披露的問題，美國專業汽車評估公司“凱利藍皮書”汽車研究主管卡爾·布勞爾接受法晚記者採訪時表示，這暗示了這一種加密模式只需簡單的竊聽鑰匙和汽車之間的通訊就能容易地被竊取。這也意味著一個竊賊能夠監測鑰匙和汽車之間的信號，並能快速地解讀出解鎖車門的代碼，甚至解讀出開啟汽車的代碼。(法制晚報微信公號：fzwb_52165216)

　　布勞爾説，解決這一問題可以進行適用於遠端鑰匙系統的安全系統升級，但是這其中牽涉成本的問題。此外，由於牽涉該問題的汽車數量較多，如果製造商將全部受影響車輛進行升級，所花費的成本將會很高。因此，私人車主如果擔憂其汽車安全的話，可以單獨對汽車系統進行升級。

　　布勞爾表示，通過該問題也讓人們吸取到一些教訓，出於安全目的使用科技無可厚非，但是這也意味著製造商必須考慮長期的問題，並考慮到假設竊賊獲得該技術侵入其安全系統的可能性。製造商應該使用更為先進的加密系統，如果汽車鑰匙和汽車之間的信號被竊聽，也應該能夠確保汽車的安全。