本站文章谢绝转载,否则法律后果自负!
法制晚报讯(记者黎史翔)126款汽车存在被盗风险,有缺陷的就是其智能钥匙。
美国有线电视新闻网近日消息,信息安全研究人员披露,这些汽车的钥匙芯片使用了过时的加密技术,假设有人监听芯片的通讯过程(只需两次),就可以轻易地通过计算机识别其中的模式,复制钥匙和芯片。这一缺陷早在2012年就已发现。不过,大众汽车公司通过将三名研究者告上法庭,使得这一问题尘封两年多。
研究报告公布了存在这一技术缺陷的车辆,包括大众、奥迪、菲亚特、本田、起亚、沃尔沃等多个车企的多款车型。英国《每日邮报》指出,这其中还有很多豪华车型,如保时捷、玛莎拉蒂、法拉利。
荷兰内梅亨大学的洛尔·维尔杜特为三名研究者之一,今晨接受法晚记者采访时称,这一漏洞有点像你设置的密码就是“密码”两字。
隐患不小
科学家称车钥匙加密技术过时芯片易被复制
过去,窃贼使用电线手动开启一辆汽车,如今汽车钥匙中配有相关的计算机芯片,其在工作时向汽车发送正确代码,汽车才能够发动。这从某种程度上阻止了单纯复制钥匙便开启汽车的窃贼。
然而,本以为是万无一失的安全保护措施,却被科学家们发现了芯片中存在严重的漏洞。根据研究,汽车钥匙的芯片使用了过时的加密技术,通过监听其通讯过程(只需两次),就可以轻易地通过计算机识别其中的模式,复制钥匙和芯片。
研究人员测试发现,用不了半小时的时间便发动了汽车。警方也表示,一个有技术头脑的罪犯只需60秒即可将汽车盗走,在伦敦被盗的车辆中,通过门锁偷车的比例占到42%。一名黑客能够伪装成代驾盗取大量汽车,或是在将租赁的汽车返还很久之后再次将车辆盗取。(法制晚报微信公号:fzwb_52165216)
涉及品牌
大众、本田、保时捷上“风险榜”缺陷隐瞒两年
三名欧洲计算机安全科学家2012年就发现了这一缺陷,他们同时警告汽车制造商问题所在。
英国《每日邮报》报道指出,受影响车辆包括大众、本田、起亚、沃尔沃等汽车品牌的多个车型,其中不乏豪华车型,如保时捷、玛莎拉蒂等。“一个更好的加密技术,会使破解代码成为不可能。”研究者对于一些豪华汽车也使用这样的过时加密技术感到吃惊,并表示消费者往往希望在价格昂贵的汽车上有其他更好的选择。
报道称,上述车型都依赖瑞士EMMicroelectronic芯片。在漏洞发现后,研究人员立即通知了汽车厂商,并给其9个月的时间去修复,解决之后便把芯片的漏洞公之于众。
然而,2013年,大众汽车将研究者所在的大学以及三名研究者告上法庭。根据法院文件显示,大众阻止研究者将其研究向同行学者公开。法院方面最初出于汽车用户安全考虑对大众表示支持。
直到日前,研究者同意隐去报告中的一些关键信息,双方才最终达成和解。隐去的细节问题能够使得一个非技术人员都可以进行“攻击”行为。
公司回应
大众:愿意更新软件
已量产车辆硬件换不了
今天上午,大众汽车集团(中国)公关传播部刘香向法晚记者发送了大众汽车针对此事的官方声明。声明称,内梅亨大学和伯明翰大学的研究人员及其他科学家对防盗监控系统的弱点等安全技术进行分析研究工作,根据相关研究成果显示,就一些老款车型(配备的是相关报道中所提及的防盗监控系统)而言,盗窃分子至少需要一套配套的车钥匙及2次以上成功启动的记录才可获得相关破译信息。基于上述事实,被提及车型的防盗性能总体上是安全的。研究同时表明,大众汽车现有产品的防盗监控系统的安全等级更优。
大众表示,大众汽车一直致力于将最尖端的技术成果应用到车辆电子和机械安全系统中,确保其始终处于最先进的状态。大众汽车一直致力于在其产品中应用最先进的安全技术并不断研发改进,如有必要,会为客户的车辆进行软件更新。通常来说,已经量产的车辆无法进行硬件更换。
此外,沃尔沃公司强调这一事件影响的是沃尔沃生产的旧车型,MegamosCrypto防护系统并未在沃尔沃目前生产的汽车上使用。报告中涉及的菲亚特、起亚等企业至今未对这一问题作出任何评论。(法制晚报微信公号:fzwb_52165216)
对话研究者
问题已存在17年“让事实成秘密我们非常吃惊”
法晚:为何进行这样的研究?
维尔杜特:汽车的加密技术简单来看,就是一个锁和一把有秘密代码的钥匙。从表面看,我们发现钥匙有96个刻痕,但是车锁只能够支持它们中的56个,这意味着这把锁是非常脆弱的。而且,我们发现很多汽车使用的是更加脆弱的密码代码,有时候使用的密码,就好比是用“密码”两字当做真正的密码!
因此,一名攻击者只需很短的时间(大约数分钟),就能侵入汽车和其钥匙系统,窃听它们之间的通讯内容。攻击者通过窃听获得大量的数据,因而能够在数天内计算出密码代码,并能够返回其要攻击的目标车辆,使用复制的电子钥匙开启汽车。
法晚:这一缺陷存在很久了?
维尔杜特:汽车安全系统应该被设计得更加完善。我们发现的问题属于设计问题,而且自1998年起就存在。如果关于设计方面的发现能够被公开讨论,很有可能像这样不安全的系统就不大可能被安装在汽车上。
法晚:那如何看待大众要求不公开研究中的关键信息?
维尔杜特:对于大众能够劝服法官下达禁令,让这些事实成为秘密,我们感到非常吃惊。其实,对于英国法院发出的禁令,荷兰内梅亨大学和英国伯明翰大学立即发起挑战,因为首先研究者使用的关于芯片的数据是完全合法的,其次,在建议公开研究成果前的9个月,制造商已经被通知该问题。
此外,这一研究是关于汽车所用芯片安全水平的科研分析,而非黑客行为。内梅亨大学作为强烈的抗辩者,相信汽车持有者有权知道其汽车安全性如何以及弱点所在。
法晚:汽车安全系统有无其他选择?
维尔杜特:自2007年起就有其他的安全保护系统可以选择,这些安全系统拥有更加安全的程序保护(如AES)。但是让我们意外的是,价格昂贵的汽车竟然也使用一些不安全的芯片来保护汽车。
我们在2012年11月就通知了芯片制造商,也与他们和汽车制造商的电子技术防盗系统制造商一起合作,增加安全性和减少问题的发生。但是关于这一问题的最好解决方案是使用更加安全的加密算法。
追访专家
系统升级可解决问题
涉及车多、成本很高
对于研究者披露的问题,美国专业汽车评估公司“凯利蓝皮书”汽车研究主管卡尔·布劳尔接受法晚记者采访时表示,这暗示了这一种加密模式只需简单的窃听钥匙和汽车之间的通讯就能容易地被窃取。这也意味着一个窃贼能够监测钥匙和汽车之间的信号,并能快速地解读出解锁车门的代码,甚至解读出开启汽车的代码。(法制晚报微信公号:fzwb_52165216)
布劳尔说,解决这一问题可以进行适用于远程钥匙系统的安全系统升级,但是这其中牵涉成本的问题。此外,由于牵涉该问题的汽车数量较多,如果制造商将全部受影响车辆进行升级,所花费的成本将会很高。因此,私人车主如果担忧其汽车安全的话,可以单独对汽车系统进行升级。
布劳尔表示,通过该问题也让人们吸取到一些教训,出于安全目的使用科技无可厚非,但是这也意味着制造商必须考虑长期的问题,并考虑到假设窃贼获得该技术侵入其安全系统的可能性。制造商应该使用更为先进的加密系统,如果汽车钥匙和汽车之间的信号被窃听,也应该能够确保汽车的安全。
文/记者黎史翔制图/刘江