在剛剛舉行的 2015 黑帽大會上，黑掉切諾基的兩位研究人員 Charlie Miller 和 Chris Valasek 如期公布了黑掉汽車的細節，他們說，其實黑掉一輛汽車并不困難。

破解 Wi-Fi 密碼

一開始兩人試圖通過 Wi-Fi 連接來破解車載多媒體系統，因為克萊斯勒允許通過訂購來支持這一選項。事實證明黑掉 Wi-Fi 并不太難，因為 Wi-Fi 密碼是根據汽車及多媒體系統（頭部單元）首次打開的時間自動生成的。

按說由于時間精確到年月日 時分秒，要想破解出那么多的密碼組合并非易事。但如果知道了車輛的生產年份和月份的話，組合數就可以減少了 1500 萬，如果汽車首次發動的時間是在白天的推測（制造商在白天上班檢測這輛車的假設應該是合理的）正確的話，組合馬上就又減少了一半（700 萬）。而 700 萬次這個數對于暴力破解來說并非難事，大概一小時就能算出。

不過鑒于 Wi-Fi 的覆蓋范圍有限，為了保證破解能持續進行下去，兩人就必須跟蹤被黑的吉普以便在破解過程中連接不被中斷。如果是這樣的話，破解的實用性就要打上折扣。不過兩人后來發現，克萊斯勒的車載系統密碼實際上是在實際日期時間設置好之前就生成的，并且是基于默認的系統時間（2013年1月1日）再加上頭部單元啟動的那幾秒鐘。

這樣一來破解的范圍就大大縮短了。因為車載系統的啟動用不了 1 分鐘，就算是菜鳥都能輕松破解出密碼來。而兩位那次破解出來的密碼是 “TyYMxfPhZxkp”，對應于 UNIX 時間（Epoch Time，從 1970年1月1日 算起）0x50e22720，換算為格林威治時間的話，就是 2013年1月1日0 時 0 分 32 秒，Bingo！

連接上頭部單元后，兩人開始尋找破解多媒體計算機的途徑。由于這套系統是基于 Linux 的，在利用了 Linux 的一些漏洞之后，兩人最終成功控制了頭部單元系統。然后他們完全控制了媒體播放器，可以隨意換臺，調節音量等。想想看，你在高速路上駕駛著汽車以 120 公里的時速疾馳時，突然蹦出一個聲音叫你 “小心！”，你估計打方向盤的手都要哆嗦了。

此外，研究人員還發現，他們可以利用車載 GPS 導航系統來跟蹤汽車，這一點做起來很簡單，連車載系統的軟件都不用改，因為那是內置選項。

　　黑客可以知道你開車的軌跡

找出所有有漏洞的車型

那到底是哪些車型存在這些漏洞呢？研究人員發現，克萊斯勒汽車的頭部單元實際上都會通過無線網絡與運營商 Sprint 連接（標準規定要這樣）。于是他們從 eBay 上購買了一臺二手的微型基站（femtocell），通過它滲透入 Sprint 的內部網絡，利用此前通過黑掉 Wi-Fi 獲得的信息進行大規模 IP 地址掃描，從而發現了所有配置此類頭部單元的車型。也就是此前克萊斯勒大規模召回的 150 萬輛汽車中涉及的車型。

　　破解 CAN 總線

曾就職于 NSA 的 Miller 和他的伙伴當然不滿足于破解多媒體系統的小打小鬧。他們的下一個目標是 CAN 總線。CAN 總線是汽車內部網絡的連接中樞，（現代）汽車所有的重要部件，包括引擎、變速器、傳感器等都要通過它互連，控制了它幾乎就可以控制汽車的一切。

那怎么才能入侵 CAN 總線呢？通過被破解的多媒體系統是沒法辦法進入的，因為該系統并不與 CAN 總線相連。汽車廠商也經常通過強調這一點來說明雖然車載系統是聯網的，但并不會影響車輛的安全。

但事實表明，汽車的安全體系并非無縫可擊，至少克萊斯勒的車是這樣。雖然多媒體系統不與 CAN 總線直接連接，但是卻可以跟另一個與 CAN 總線的部件相連，這個部件叫做 V850 控制器。

平心而論，V850 控制器軟件在設計上已經很小心了，它可以偵聽 CAN 總線，但是卻不能發送指令。但是要知道，這畢竟是一臺計算機。如果這臺計算機沒有你想要的能力，只需對其重新編程就能讓它具備這種能力。

于是兩人通過多媒體系統控制器與 V850 控制器的連接對后者的固件進行了修改。讓后者 “升級” 為自己篡改過的版本，而這種升級無需任何的檢查或授權。即便需要授權，研究人員也發現有若干漏洞可以控制 V850 控制器。

控制了 V850 控制器之后前方就是一片坦途。Miller 和 Valasek 現在可以通過 CAN 總線發送任何指令了，沒錯，是任何指令！可以讓汽車做任何能做的事情。包括控制方向盤、變速器、剎車系統、雨刮、空調門鎖等。這給之前《連線》雜志的記者帶來了那些驚悚體驗：

“記住，Andy，” 我正準備駛入 64號州際公路匝道之前 iPhone 里傳來了 Miller 的聲音：“無論發生了什么都不要恐慌。”兩位黑客開始遠程擺弄我車上的空調、收音機和雨刮，我開始為自己在壓力之下的勇氣感到慶幸，而此刻兩人正在切斷我的變速器。車子的油門馬上失效了。我拼命地踩住油門，看見 RPM（轉速計）的數字飆上去了，但吉普車卻失速了一半，然后慢慢開始龜速爬行。我剛剛才開到一段很長的立交橋上，那上面可是沒有應急車道的。實驗開始不好玩了。“你完蛋了！” Valasek 在電話那頭起哄。電臺此時正在播著 Kanye West 的歌，我不理解他到底是幾個意思。大拖車越來越近。我想起了 Miller 的建議，別慌。哦上帝，你能不慌嗎？我慌了，手里緊緊攥住手機，祈求他們趕緊停止惡作劇。

后來記者當然是虛驚一場。但鑒于這件事情的危險性，兩人并未在黑帽大會上透露黑掉 CAN 總線的細節。不過如果你對這些細節感興趣，可以研究一下他們的白皮書，記住：別干壞事！