放大
缩小
默认
126款汽车存在被盗风险,有缺陷的就是其智能钥匙。
美国有线电视新闻网近日消息,信息安全研究人员披露,这些汽车的钥匙芯片使用了过时的加密技术,假设有人监听芯片的通讯过程(只需两次),就可以轻易地通过计算机识别其中的模式,复制钥匙和芯片。这一缺陷早在2012年就已发现。不过,大众汽车公司通过将3名研究者告上法庭,使得这一问题尘封两年多。
研究报告公布了存在这一技术缺陷的车辆,包括大众、奥迪、菲亚特、本田、起亚、沃尔沃等多个车企的多款车型。英国《每日邮报》指出,还有很多豪华车型,如保时捷、玛莎拉蒂、法拉利等存在这种情况。
荷兰内梅亨大学的洛尔·维尔杜特为3名研究者之一。他在接受记者采访时称,这一漏洞有点像你设置的密码就是“密码”两字。
汽车智能钥匙
隐患不小 车钥匙加密技术过时
过去,窃贼使用电线手动开启一辆汽车,如今汽车钥匙中配有相关的计算机芯片,其在工作时向汽车发送正确代码,汽车才能够发动。这从某种程度上阻止了单纯复制钥匙便可开启汽车的窃贼。
然而,本以为是万无一失的安全保护措施,却被科学家们发现了芯片中存在严重的漏洞。根据研究,汽车钥匙的芯片使用了过时的加密技术,通过监听其通讯过程(只需两次),就可以轻易地通过计算机识别其中的模式,复制钥匙和芯片。
研究人员测试发现,用不了半小时便发动了汽车。警方也表示,一个有技术头脑的罪犯只需60秒即可将汽车盗走,在伦敦被盗的车辆中,通过门锁偷车的比例占到42%。一名黑客能够伪装成代驾盗取大量汽车,或是将租赁的汽车返还后再次将车辆盗走。
涉及品牌 大众、本田、保时捷上“风险榜”
3名欧洲计算机安全科学家2012年就发现了这一缺陷,他们同时警告汽车制造商问题所在。
英国《每日邮报》报道指出,受影响车辆包括大众、本田、起亚、沃尔沃等汽车品牌的多个车型,其中不乏豪华车型,如保时捷、玛莎拉蒂等。研究者对于一些豪华汽车也使用这样的过时加密技术感到吃惊,并表示消费者往往希望在价格昂贵的汽车上有其他更好的选择。
报道称,上述车型都依赖瑞士EM Microelectronic芯片。在漏洞发现后,研究人员立即通知了汽车厂商,并给其9个月的时间去修复,解决之后便把芯片的漏洞公之于众。
然而,2013年,大众汽车将研究者所在的大学以及3名研究者告上法庭。根据法院文件显示,大众阻止研究者将其研究向同行学者公开。法院方面最初出于汽车用户安全考虑对大众表示支持。
直到日前,研究者同意隐去报告中的一些关键信息,双方才达成和解。
公司回应 大众:愿意更新软件
昨天上午,大众汽车集团(中国)公关传播部的刘香向记者发送了大众汽车针对此事的官方声明。声明称,内梅亨大学和伯明翰大学的研究人员及其他科学家对防盗监控系统的弱点等安全技术进行分析研究相关研究成果显示,就一些老款车型(配备的是相关报道中所提及的防盗监控系统)而言,窃贼至少需要一套配套的车钥匙及2次以上成功启动的记录才可获得相关破译信息。基于上述事实,被提及车型的防盗性能总体上是安全的。研究同时表明,大众汽车现有产品的防盗监控系统的安全等级更优。
刘香表示,大众汽车一直致力将最尖端的技术成果应用到车辆电子和机械安全系统中,确保其始终处于最先进的状态。并在其产品中应用最先进的安全技术不断研发改进,如有必要,会为客户的车辆进行软件更新。通常来说,已经量产的车辆无法进行硬件更换。
此外,沃尔沃公司强调这一事件影响的是沃尔沃生产的旧车型,Megamos Crypto防护系统并未在沃尔沃目前生产的汽车上使用。报告中涉及的菲亚特、起亚等企业至今未对这一问题作出任何评论。
对话研究者
问题已存在17年
“让事实成秘密我们非常吃惊”
记者:为何进行这样的研究?
维尔杜特:汽车的加密技术简单来看,就是一个锁和一把有秘密代码的钥匙。从表面看,我们发现钥匙有96个刻痕,但是车锁只能够支持它们中的56个,这意味着这把锁是非常脆弱的。而且,我们发现很多汽车使用的是更加脆弱的密码,有时候使用的密码,就好比是用“密码”两字当做真正的密码!
因此,攻击者只需很短的时间(大约数分钟),就能侵入汽车的钥匙系统,窃听它们之间的通讯内容。攻击者通过窃听获得大量的数据,能够在数天内计算出密码代码,并能够返回其要攻击的目标车辆,使用复制的电子钥匙开启汽车。
记者:这一缺陷存在很久了?
维尔杜特:汽车安全系统应该被设计得更加完善。我们发现的问题属于设计问题,而且自1998年起就存在。如果关于设计方面的发现能够被公开讨论,像这样不安全的系统就不可能被安装在汽车上。
记者:如何看待大众要求不公开研究中的关键信息?
维尔杜特:对于大众能够劝服法官下达禁令,让这些事实成为秘密,我们感到非常吃惊。其实,对于英国法院发出的禁令,荷兰内梅亨大学和英国伯明翰大学立即发起挑战,首先研究者使用的关于芯片的数据是完全合法的,其次,在建议公开研究成果前的9个月,制造商已经被通知该问题。
此外,这一研究是关于汽车所用芯片安全水平的科研分析,而非黑客行为。内梅亨大学作为抗辩者,相信汽车持有者有权知道其汽车安全性如何以及弱点所在。
记者:汽车安全系统有无其他选择?
维尔杜特:自2007年起就有其他的安全保护系统可以选择,这些安全系统拥有更加安全的程序保护(如AES)。但是让我们意外的是,价格昂贵的汽车竟然也使用一些不安全的芯片来保护汽车。
我们在2012年11月就通知了芯片制造商,他们和汽车制造商的电子技术防盗系统制造商合作,增加汽车安全系统的安全性和减少问题的发生。但是这一问题的最好解决方案是使用更加安全的加密算法。 (据新华社)