当心被盗！特斯拉Model X存致命漏洞：300美元设备可开走停放车辆

腾讯科技讯 11月24日消息，特斯拉一直以其所谓的空中升级（OTA）为荣，能够通过更新代码来修复漏洞和添加功能。但一名安全研究人员展示了特斯拉Model X的无钥匙进入系统中的漏洞，这个漏洞可以允许不同类型的更新：黑客可以通过蓝牙连接重写密钥卡的固件，从密钥卡上提取解锁代码，并使用它在几分钟内窃取Model X。

比利时鲁汶大学的安全研究员伦纳特·伍特斯（Lennert Wouters）周一披露了他在特斯拉Model X和无钥匙进入系统中发现的一系列安全漏洞。他发现，任何试图读取电动车识别号（通常通过挡风玻璃在电动车仪表板上可见）的偷车贼都可以利用这些漏洞，而且这些漏洞距离受害者的钥匙链约15英尺（约合4.57米）。完成抢劫所需的硬件套件花费了伍特斯大约300美元。它们能够装在一个背包里，由小偷的手机控制。在短短90秒内，硬件可以提取出解锁车主Model X的无线电代码。一旦偷车贼进入车内，伍特斯发现的第二个明显的漏洞将允许偷车贼在一分钟的工作后将自己的密钥卡与受害者的车辆配对，然后将车开走。

“基本上，两个漏洞的结合使得黑客可以在几分钟内窃取Model X，”伍特斯说。他计划在1月份举行的the Real World Crypto大会上展示这一发现。“当把它们结合起来，就会得到一个更强大的攻击，”他说。

伍特斯表示，他在8月份就已警告特斯拉他的Model X无钥匙进入系统存在漏洞。他表示，特斯拉已告诉他，计划本周开始进行软件更新，以防止两组攻击中的至少一组。特斯拉告诉伍特斯，该补丁可能需要近一个月的时间才能在所有易受攻击的车辆上推出，因此Model X的车主应该确保在未来几周安装特斯拉为他们提供的更新，以防止黑客攻击。与此同时，伍特斯还表示，他一直小心翼翼地不公布任何代码或披露技术细节，以免让偷车贼得逞。

伍特斯的技术利用了他在Model X的无钥匙进入系统中发现的一系列安全问题--无论是主要的还是次要的--这些问题加在一起构成了一种完全解锁、启动和盗窃车辆的方法。首先，Model X的密钥缺乏所谓的固件更新“代码签名”（code signing）。特斯拉设计了Model X密钥卡，通过无线连接到Model X内部的计算机，通过蓝牙接收无线固件更新，但没有确认新的固件代码有特斯拉的不可伪造的加密签名。伍特斯发现，他可以使用自己的带有蓝牙无线电的计算机连接到目标Model X的密钥卡，重写固件，并使用它来查询密钥卡内为车辆生成解锁代码的安全芯片。然后，他可以通过蓝牙将代码发送回自己的计算机。整个过程用了90秒。

起初，伍特斯发现建立蓝牙连接并不容易。Model X智能钥匙的蓝牙无线电只有在智能钥匙的电池取出再放入时才会“唤醒”几秒钟。但是伍特斯发现，Model X内负责无钥匙进入系统的计算机，一个被称为车身控制模块（BCM）的组件，也可以执行蓝牙唤醒命令。通过在eBay上以50到100美元的价格购买Model X的BCM，伍特斯可以欺骗发送到密钥卡的低频无线电信号。(虽然最初的唤醒命令必须从大约15米的近距离无线电范围发送，但如果受害者在户外，固件更新技巧的其余部分可以在数百英尺外执行。)

伍特斯还发现，BCM从电动车的车辆识别号的最后五位数字中获得了用于证明其身份的唯一代码。黑客可以从目标电动车的挡风玻璃上读取这些数字，然后用它为他们的盗版BCM创建一个代码。“你最后得到的BCM认为它属于目标车辆，”伍特斯说。

不过所有这些只能让伍特斯解锁电动车。为了解锁并驾驶它，他必须更进一步。一旦进入Model X，伍特斯发现他可以把自己的电脑插入一个端口，该端口可以通过显示屏下的一个小面板进入。他说，这可以在几秒钟内完成，不需要工具，只需在仪表板上拉出一个小的储存容器。该端口允许计算机向电动车内部组件网络发送命令，该网络被称为CAN总线，包括BCM。然后，他可以指示Model X的实际BCM与他自己的钥匙链配对，基本上是告诉电动车他的伪造钥匙是有效的。虽然每个Model X钥匙链都包含一个独特的加密证书，应该可以防止电动车与流氓密钥配对，但伍特斯发现BCM实际上没有检查该证书。这让他只需在仪表板下摆弄一分钟，就可以注册自己的车钥匙并把它开走。

伍特斯指出，他发现的两个最严重的漏洞--密钥卡固件更新和新密钥卡与电动车配对缺乏验证--表明X型无钥匙进入系统的安全设计与其实施方式之间存在明显的脱节。“该系统拥有一切它需要的安全，”伍特斯说。“此外，还有一些小错误，让我得以规避所有的安全措施。”

为了展示他的技术，伍特斯组装了一个面包盒大小的设备，包括一台树莓派（Raspberry Pi）小型计算机、一台二手Model X BCM、一个密钥卡、一个电源转换器和一个电池。整个工具包可以从背包里发送和接收所有必要的无线电命令，花费他不到300美元。伍特斯设计了它，这样他就可以悄悄地控制它，输入电动车的车辆识别号，检索解锁码，并在智能手机上的简单命令提示符下配对一把新钥匙。

伍特斯说，没有证据表明他的技术被现实世界的盗车贼所使用。但近年来，盗车贼瞄准特斯拉的无钥匙进入系统来盗窃车辆，并利用继电器攻击放大钥匙链的信号来解锁和启动电动车。

伯明翰大学研究汽车无钥匙进入系统安全性的研究员弗拉维奥·加西亚（Flavio Garcia）说，虽然伍特斯的方法非常复杂，但如果不警告特斯拉，黑客就会很容易付诸实施。“我认为这是一个现实的场景，”加西亚说。"这将许多漏洞交织在一起，形成了对车辆的端到端的实际攻击。”

这并不是伍特斯第一次披露特斯拉无钥匙进入系统的漏洞。他以前两次在特斯拉Model S无钥匙进入系统中发现密码漏洞，这些系统同样允许基于无线电的电动车盗窃。他认为特斯拉的无钥匙进入安全方法没有什么特别独特的地方。类似的系统可能同样脆弱。“它们是很酷的车，所以很有趣，”伍特斯说。“但我认为，如果我花同样多的时间研究其他品牌，我可能会发现类似的问题。”伍特斯指出，对特斯拉来说，更独特的是，与许多其他汽车制造商不同，它有能力推出空中升级软件补丁，而不是要求司机将钥匙交给经销商进行更新或更换。“这就是将汽车视为个人电脑的好处：即使更新机制被证明是一个可攻击的漏洞，它也为特斯拉车主提供了解决问题的生命线，”他说。