先前传出有低成本的keyless破解法,但那只是转传keyless讯号,技术层次没有很高。
现在最新发表的keyless破解技术大升级,加密金钥可被破解复制。
根据Wired杂志的报导,英国伯明罕大学和德国Kasper & Oswald工程公司的研究人员
发现,绝大部份的大众集团VAG keyless免持钥匙有安全漏洞,容易被破解开锁,
只要用低成本40美元的无线电波装置和一台笔电,就可以破解大众集团的keyless。
他们只须拦截一次电波讯号就能破解VAG keyless内建的加密金钥,并能无限次重复使用
,受害车辆总数初估超过一亿台以上,本文后面有受害车款名单。
keyless电波拦截装置适用范围达100公尺
这次发表的破解法跟以往最大的不同是它彻底破解加密金钥,复制之后还能无限次使用
。
(图) 大众集团的keyless被破解,受害车辆超过一亿台以上
http://i.imgur.com/Cr0dodm.jpg
(source: Car and Driver)
(本文PTT网页好读版 https://www.ptt.cc/bbs/car/M.1471026572.A.495.html )
这次他们公布的破解法有两种,
第一种破解法是“拦截加密讯号,破解并复制加密金钥”
波及范围涵盖绝大部份大众集团在1995年以后生产keyless车子,
例如2002~2015年的Golf 4,5,6,初估总共有一亿辆以上受害。
第二种破解法是“暴力破解法”
只要拦截4~8组keyless电波加密讯号,再用笔电花个“1分钟”计算,
就能找到另外一组可以通过车辆防盗验证系统的加密讯号,轻松打开车门。
这招适用于NXP公司生产的PCF7946和PCF7947 两种IC芯片。
波及多家汽车品牌包括Alfa Romeo, Chevrolet, Dacia, Fiat, Ford, Lancia,
Mitsubishi, Nissan, Opel, Peugeot, Renault等旗下的部份车款。
(图) 无线电波拦截装置,成本只要40美元,1280元台币
http://i.imgur.com/soWo052.jpg
除了VW以外,研究人员也发现Audi和Skoda也有许多车款会被破解,
即使新车如2016 Audi Q3照样可破解。
第一种针对大众集团车辆的破解法,其运作原理如下
1. 研究人员透过繁复的逆向工程技术,解开并撷取VW车辆内部网络某个元件(的资料),
最后可以得到一把特殊的加密钥匙,
而这把加密钥匙会这么特殊的原因是他是通用型加密钥匙 (global master key),
大众每个时期的keyless系统 (VW2 ~ VW4),都会有几把通用型加密钥匙,
这些通用型加密钥匙会分配给同时期的车上keyless系统来使用,
结果就是会有好几百万辆车子,共用同一把通用型加密钥匙的情况发生。
2. 拿着成本40美元的简易装置拦截keyless讯号,取得车主钥匙的加密讯号
3. 利用前面两项,就能算出并复制车主钥匙内建的原始加密金钥,
从此以后,坏人就可以无限次发送合法认证的keyless加密讯号。
研究人员发现,大众集团的keyless系统分成四个时期 VW-1 ~ VW-4,
第一个时期VW-1(~2005年以前)的keyless并没有使用到金钥加密运算,所以很好破解。
至于第二到第四时期VW-2~VW-4的keyless虽然有用到金钥加密,
但每个时期都有几把通用型加密钥匙,给车子的keyless系统来共用(global master key)
,只要拆解keyless,取得firmware,再透过繁复的逆向工程就能破解取得这把通用钥匙。
(图) VW的keyless免持钥匙在拆解后的电路板图
http://i.imgur.com/L7rQsij.jpg
第一种keyless破解法,研究人员初步测试的破解名单如下,应该还有漏网之鱼。
Audi: A1, Q3, R8, S3, TT, 与其他车款 various other types of Audi cars
(e.g. remote control part number 4D0 837l 231)
VW: Amarok, (New) Beetle, Bora, Caddy, Crafter, e-Up, Eos, Fox,
Golf 4, Golf 5, Golf 6, Golf Plus, Jetta, Lupo, Passat, Polo, T4, T5,
Scirocco, Sharan, Tiguan, Touran, Up
Seat: Alhambra, Altea, Arosa, Cordoba, Ibiza, Leon, MII, Toledo
Skoda: City Go, Roomster, Fabia 1, Fabia 2, Octavia, SuperB, Yeti
最新大改款的车种,keyless有改用新架构,因此它们不受影响,
例如Golf 7、全新Passat、全新Tiguan。
至于Porsche, Bentley, Lamborghini, Bugatti,因为车辆比较稀少,所以没有做测试
(图) 第二种方法是用暴力破解法,初步破解车款名单
研究人员初步测试的破解名单,这只是冰山的一角,因为他们手上没有车子可测
http://i.imgur.com/WNUPjip.jpg
◇汽车科技的安全性攸关到自动驾驶车辆的发展
带领这项研究的Garcia说:
“看到现在的新车还在使用1990年代的安全技术,这种情况让人有点担忧”
“如果我们想要能有安全的、自动驾驶的、彼此网络互连的车子,
这种情况一定要改变才行。”
“It’s a bit worrying to see security techniques from the 1990s used in
new vehicles,” says Garcia. “If we want to have secure, autonomous,
interconnected vehicles, that has to change.”
延伸阅读
[外电] 德国研发出低成本keyless破解器 有9成车款破功 (2016/03)
https://www.ptt.cc/bbs/EuropeanCar/M.1458811298.A.E9D.html
出处
A New Wireless Hack Can Unlock 100 Million Volkswagens
https://is.gd/Bm3fjl
[PDF] Keyless破解的研究报告
Lock It and Still Lose It—On the (In)Security of Automotive Remote Keyless
Entry Systems
https://is.gd/79tiZq
(注: VAG的keyless加密金钥可被破解,牵连广泛,只要有注明本文网址,欢迎转载)