多年來，汽車制造商和黑客都知道，無線車鑰匙的信號是可以假冒的，利用這種狡猾的辦法，打開車門甚至把車開走都不成問題。但即便各種演示和現(xiàn)實案例層出不窮，該技術(shù)至今對很多車型有效。如今，中國研究團隊不僅又演示了一遍此種攻擊，還將攻擊成本減少到令人驚訝的程度，操作起來也十分簡單。

奇虎360的一組研究人員近日推出了所謂的中繼黑客方法，用一對11美元（兩個共22美元）的自制無線電裝置，就能堂而皇之開走別人的車。這比之前的車鑰匙欺騙硬件都要便宜得多。

剛剛在阿姆斯特丹舉行的 Hack in the Box 黑客安全大會上，360的研究人員稱，他們的方法不僅大幅降低了入侵成本，還使無線電攻擊的范圍倍增，甚至能在300多米開外就實施攻擊。

該攻擊的思路基本上就是讓車輛和鑰匙都以為相互距離很近：

一名黑客拿著其中一個裝置守在受害者車鑰匙近旁，負(fù)責(zé)偷車的黑客拿著另一個裝置靠近目標(biāo)車輛。靠近車輛的設(shè)備假冒來自車鑰匙的信號，誘使車輛免鑰匙進入系統(tǒng)發(fā)出無線電信號，尋求車鑰匙返回的匹配信號。黑客的設(shè)備不會試圖破解該無線電代碼，而是復(fù)制之，通過無線電在黑客設(shè)備間傳輸，再發(fā)回給車鑰匙。然后立即將車鑰匙的返回信號沿該傳送鏈傳回，讓車輛產(chǎn)生鑰匙就在駕駛員手里的假象。

獨角獸團隊的研究員李軍表示， “該攻擊利用兩臺設(shè)備擴展了遙控鑰匙的有效范圍。車主在辦公室上班，或者在超市購物，停在停車場的車輛就會被配合默契的兩人開走。這很簡單。”

讀懂信號

對免鑰匙進入系統(tǒng)的中繼攻擊，至少可追溯到2011年。當(dāng)時瑞士研究人員是用數(shù)千美元的軟件定義無線電設(shè)備演示的。去年，德國汽車俱樂部(ADAC)的研究人員展示了他們可以僅用225美元的設(shè)備就達(dá)到相同效果。他們還發(fā)現(xiàn)該方法仍然對24種車型有效。鑒于該問題波及范圍之廣，以及軟件或硬件汽車安全補丁的罕見，他們列表上那些出自奧迪、寶馬、福特、大眾等業(yè)界巨頭的車輛，很可能依然對此攻擊毫無防備。

而且，獨角獸團隊還將無線電中繼盜車技術(shù)更推進一步，不僅復(fù)制原始無線電信號并整體發(fā)送，還打造了包含解調(diào)芯片的定制設(shè)備，將信號解析稱01序列。該逆向工程的成功意味著，他們可以將被分解的信號以低得多的頻率一位一位地發(fā)送，將ADAC測試中的100米有效范圍擴展至300米，同時還保持低功耗。關(guān)鍵是，該硬件真的便宜很多。他們在2臺設(shè)備的芯片、發(fā)射器、天線和電池上總共只花了不到800塊人民幣，這算下來每臺設(shè)備僅11美元。

開發(fā)出免鑰匙進入黑客技術(shù)的著名獨立安全研究員薩米·卡姆卡稱：“獨角獸團隊逆向工程信號的做法很令人驚艷。原版攻擊采取的是錄制回放方法。而這個團隊理解了語言：有點像是寫下單詞，再對另一端說出來。”個中差別可能會將更多的研究目光引向該協(xié)議中的漏洞。

便宜又簡單

在360研究團隊的測試中，兩種車型可以被遠(yuǎn)程開門駛走：中國汽車制造商比亞迪的秦系列氣電混合動力轎車，雪佛蘭科帕奇SUV。但研究人員強調(diào)，該問題遠(yuǎn)不止他們測試的兩種車型存在。秦系列轎車、科帕奇SUV和其他數(shù)十種車型都采用的是荷蘭芯片制造商NXP打造的免鑰匙進入系統(tǒng)。而且，NXP很可能不是唯一一家讓車輛對該攻擊束手無策的芯片廠商。

NXP發(fā)言人稱：“業(yè)界已經(jīng)注意到中繼攻擊復(fù)雜性和成本近年來有所下降。汽車制造商和車輛進入系統(tǒng)集成商正在引入對抗此類攻擊的解決方案。”但該公司將特定車型現(xiàn)有漏洞的問題歸結(jié)到了汽車制造商身上。目前無論是比亞迪還是雪佛蘭，都還沒有對評論請求做出任何回應(yīng)。

360的研究人員稱，從汽車制造商和NXP這樣的零部件公司角度，通過收緊鑰匙和車輛間通信請求-響應(yīng)的時間限制，中繼攻擊就可以被有效防止了。從太遠(yuǎn)的地方中繼信號，這些限制就阻止欺詐傳輸被接受。

而在車主方面也有辦法：把車鑰匙放到屏蔽無線電傳輸?shù)姆ɡ诖永铮蛘叻诺椒忾]的金屬盒子里。把鑰匙包上錫紙也能達(dá)到同樣效果，只是未免有點惶恐。但若獨角獸團隊的研究真的顯露出某種跡象，對汽車免鑰匙進入系統(tǒng)的攻擊只會越來越簡單而常見。