先前傳出有低成本的keyless破解法,但那只是轉傳keyless訊號,技術層次沒有很高。
現在最新發表的keyless破解技術大升級,加密金鑰可被破解複製。
根據Wired雜誌的報導,英國伯明罕大學和德國Kasper & Oswald工程公司的研究人員
發現,絕大部份的福斯集團VAG keyless免持鑰匙有安全漏洞,容易被破解開鎖,
只要用低成本40美元的無線電波裝置和一台筆電,就可以破解福斯集團的keyless。
他們只須攔截一次電波訊號就能破解VAG keyless內建的加密金鑰,並能無限次重複使用
,受害車輛總數初估超過一億台以上,本文後面有受害車款名單。
keyless電波攔截裝置適用範圍達100公尺
這次發表的破解法跟以往最大的不同是它徹底破解加密金鑰,複製之後還能無限次使用
。
(圖) 福斯集團的keyless被破解,受害車輛超過一億台以上
http://i.imgur.com/Cr0dodm.jpg
(source: Car and Driver)
(本文PTT網頁好讀版 https://www.ptt.cc/bbs/car/M.1471026572.A.495.html )
這次他們公佈的破解法有兩種,
第一種破解法是「攔截加密訊號,破解並複製加密金鑰」
波及範圍涵蓋絕大部份福斯集團在1995年以後生產keyless車子,
例如2002~2015年的Golf 4,5,6,初估總共有一億輛以上受害。
第二種破解法是「暴力破解法」
只要攔截4~8組keyless電波加密訊號,再用筆電花個「1分鐘」計算,
就能找到另外一組可以通過車輛防盜驗證系統的加密訊號,輕鬆打開車門。
這招適用於NXP公司生產的PCF7946和PCF7947 兩種IC晶片。
波及多家汽車品牌包括Alfa Romeo, Chevrolet, Dacia, Fiat, Ford, Lancia,
Mitsubishi, Nissan, Opel, Peugeot, Renault等旗下的部份車款。
(圖) 無線電波攔截裝置,成本只要40美元,1280元台幣
http://i.imgur.com/soWo052.jpg
除了VW以外,研究人員也發現Audi和Skoda也有許多車款會被破解,
即使新車如2016 Audi Q3照樣可破解。
第一種針對福斯集團車輛的破解法,其運作原理如下
1. 研究人員透過繁複的逆向工程技術,解開並擷取VW車輛內部網路某個元件(的資料),
最後可以得到一把特殊的加密鑰匙,
而這把加密鑰匙會這麼特殊的原因是他是通用型加密鑰匙 (global master key),
福斯每個時期的keyless系統 (VW2 ~ VW4),都會有幾把通用型加密鑰匙,
這些通用型加密鑰匙會分配給同時期的車上keyless系統來使用,
結果就是會有好幾百萬輛車子,共用同一把通用型加密鑰匙的情況發生。
2. 拿著成本40美元的簡易裝置攔截keyless訊號,取得車主鑰匙的加密訊號
3. 利用前面兩項,就能算出並複製車主鑰匙內建的原始加密金鑰,
從此以後,壞人就可以無限次發送合法認證的keyless加密訊號。
研究人員發現,福斯集團的keyless系統分成四個時期 VW-1 ~ VW-4,
第一個時期VW-1(~2005年以前)的keyless並沒有使用到金鑰加密運算,所以很好破解。
至於第二到第四時期VW-2~VW-4的keyless雖然有用到金鑰加密,
但每個時期都有幾把通用型加密鑰匙,給車子的keyless系統來共用(global master key)
,只要拆解keyless,取得firmware,再透過繁複的逆向工程就能破解取得這把通用鑰匙。
(圖) VW的keyless免持鑰匙在拆解後的電路板圖
http://i.imgur.com/L7rQsij.jpg
第一種keyless破解法,研究人員初步測試的破解名單如下,應該還有漏網之魚。
Audi: A1, Q3, R8, S3, TT, 與其他車款 various other types of Audi cars
(e.g. remote control part number 4D0 837l 231)
VW: Amarok, (New) Beetle, Bora, Caddy, Crafter, e-Up, Eos, Fox,
Golf 4, Golf 5, Golf 6, Golf Plus, Jetta, Lupo, Passat, Polo, T4, T5,
Scirocco, Sharan, Tiguan, Touran, Up
Seat: Alhambra, Altea, Arosa, Cordoba, Ibiza, Leon, MII, Toledo
Skoda: City Go, Roomster, Fabia 1, Fabia 2, Octavia, SuperB, Yeti
最新大改款的車種,keyless有改用新架構,因此它們不受影響,
例如Golf 7、全新Passat、全新Tiguan。
至於Porsche, Bentley, Lamborghini, Bugatti,因為車輛比較稀少,所以沒有做測試
(圖) 第二種方法是用暴力破解法,初步破解車款名單
研究人員初步測試的破解名單,這只是冰山的一角,因為他們手上沒有車子可測
http://i.imgur.com/WNUPjip.jpg
◇汽車科技的安全性攸關到自動駕駛車輛的發展
帶領這項研究的Garcia說:
「看到現在的新車還在使用1990年代的安全技術,這種情況讓人有點擔憂」
「如果我們想要能有安全的、自動駕駛的、彼此網路互連的車子,
這種情況一定要改變才行。」
“It’s a bit worrying to see security techniques from the 1990s used in
new vehicles,” says Garcia. “If we want to have secure, autonomous,
interconnected vehicles, that has to change.”
延伸閱讀
[外電] 德國研發出低成本keyless破解器 有9成車款破功 (2016/03)
https://www.ptt.cc/bbs/EuropeanCar/M.1458811298.A.E9D.html
出處
A New Wireless Hack Can Unlock 100 Million Volkswagens
https://is.gd/Bm3fjl
[PDF] Keyless破解的研究報告
Lock It and Still Lose It—On the (In)Security of Automotive Remote Keyless
Entry Systems
https://is.gd/79tiZq
(註: VAG的keyless加密金鑰可被破解,牽連廣泛,只要有註明本文網址,歡迎轉載)