扳手神马的是上个世纪的盗车贼用的笨家伙。现代的盗贼,如果他们像西尔维奥·切萨雷(Silvio Cesare)那么聪明的话,那么他们或许能碰都不碰车门就把它开了。
如果你对此感兴趣,那么你该去去本周晚些时候举行的黑帽安全大会(Black Hat security conference)讲无线设备不安全性的部分,切萨雷计划当天公布一项技术,任何人都可以从无线钥匙那里拦截信号,解锁汽车,且完全不会留下物理痕迹,这是种只需几分钟即可完成的密码破译攻击。 「我可以用它来锁定,解锁,打开后备箱,」塞萨尔说道,他是美国云计算安全公司 Qualys 的澳大利亚籍研究人员。
现在,要完成塞萨尔的黑客行动,你仅需要 1000 美金左右的现成工具就行了,不过在某些情况下,你可能得在汽车的无线量程内逡巡俩小时。另外,他其实只在自己那辆十岁的旧车上做过实验。
不过你也知道,现在无线电设备越来越便宜,这会让更多没那么友好的黑客们入场帮助完善他的技术,并找出类似的无线漏洞。切萨雷的方法这么简单有效,他认为它的一些变体应该也能在其他汽车上奏效。汽车制造商们没那么挑剔,它们更倾向于使用许多品牌和型号通用的钥匙技术。该设备的制造商包括公司安泰(Amtel)和 TRW。
同时他不愿透露测试车的情况,目前他仍在与计算机应急响应小组(CERT)的澳大利亚分会沟通。他只是说道, 「这是一款非常流行的汽车,刚才我还看见了两个相同型号的。」
切萨雷的黑客行动使用的是称为软件定义无线电(software-defined radio)的工具,它可以收发从 FM 到蓝牙到 Wi-Fi 的宽幅调频。他只需要把这超多功能的发射器安在笔记本上,再加上一个物美价廉的天线和放大器,就能够传输与车门钥匙同频的信号了。然后,他使用这一频率执行称之为「蛮力」的攻击 -以每秒两到三条的速率循环成千上万的预测代码,直到找到能成功解锁车辆的为止。
不过,因为汽车和密钥卡使用的是每次使用都会改变的滚动编码,所以这个把戏要用的时间也是有长有短;有时会长达两小时。即使是这样,黑客只需要找到一辆长时间无人看管的车,比如那些在车库过夜的车。一辆车已被无线解锁的唯一迹象是,车主在下次用钥匙时不好使了,需要两到三次摁键才能再次与汽车的锁定系统同步。
在他的测试中,塞萨尔也很惊讶地注意到,这辆车被相同的代码打开了数次。这意味着这辆车可能有一个制造商创建的后门,密码并不改变,一旦找到后就能如第一次那样被打开。不过,在使用了这条「芝麻开门」的咒语几十次之后,它又突然不管用了;他仍在试图确定他这款车和其他型号的车子中是否普遍存在「后门」,另外就是有无可能一直使用这个后门。
每一次攻击都有一个要求,攻击者必须首先找出每辆车之间都不相同的那部分解锁码。这意味着黑客在发送自己的假冒解锁指令之前,需要窃听从受害车主的钥匙发送出来的锁定或解锁指令来找到这辆汽车的独有代码。
切萨雷认为,这个限制可以以一种创可贴的保护形式发挥作用:任何担心汽车无线大盗的人都会在公共场合避免使用密码。在窃听者可能窃取到信号的情况下,车主应该手动锁车。
但他也承认这种手动偏执也是差强人意。事实上,它往往会引发许多现代汽车的「恐慌」。保护这脆弱的老一代汽车可能为时已晚,不过他仍希望这能给未来车型当个警醒。因为这个原因,他拒绝将代码或工具开放给公众,他怕为那些没技术的没品盗贼利用。
切萨雷不是第一个无线黑进汽车的。三年前,瑞士的研究人员发现,他们可以侵入甚至是远程启动汽车,只需把受害者的车门密码窃取掉,再重制这个信号。但塞萨尔认为他的攻击,是继七年前以色列和比利时的研究人员将广泛使用的 Keeloq 无线加密技术破解之后,真正破解车辆无线开锁机制的第一人。
为了找到这个加密漏洞,切萨雷有个自己的办法:他造了一个小机器人上千次地推动按钮,听取其发射的无线电代码。
并不是每一个黑客为了自己的密码破译事业都会去造一个按按钮的机器人。切萨雷对着这么一辆十年的旧车展开他那「求爱」般的攻击也有很多局限性。但是,随着软件无线电变得又便宜又好找到,我们在将来会看到更多的远程攻击漏洞。他使用一个价值一千美元叫做「USRP」的无线电工作,不过像 HackRF 这样更新的型号价格则是它的一半,并同样允许黑客们截取几乎所有识别到的无线信号。 「这是一个新的黑客操场,」塞萨尔说。 「许多设备现在都可以被修改、模拟的和窃听。未来我们会看到更多的安全问题浮出水面。」