大多数人可能想当然地认为他们的钥匙链是安全的。毕竟,给汽车上锁和解锁是非常重要的。但是在黑帽在安全会议上,研究人员展示了一个简单的重放攻击是如何逆转汽车钥匙串内置的安全措施的。
它应该如何工作
用于远程锁定和解锁汽车的系统被称为远程无钥匙进入(RKE),它比看起来要复杂得多。每个按键都是唯一的,这可以防止攻击者简单地记录下你敲击解锁按钮的过程,然后再回放。
I2R, a *STAR的研究员Levente Csikor解释说,RKE系统使用滚动代码。钥匙链和汽车都有一个计数器,每次按下一个按钮,计数器就会增加。这样,先前记录的按钮按压将不会被接受。
但并不是所有的钥匙链按键都能打开你的车。也许你在范围之外,在厚厚的玻璃后面,或者只是在摆弄你的钥匙。这些按键可以推动钥匙链上的计数器前进,但不能推动汽车前进。为了防止意外按键导致车主被锁在车外,如果RKE系统检测到fob按键次数比汽车多,就会重置到较低的计数器数字。
RollJam, Meet RollBack
复位系统假设,只要计数器上的fob号是更高的而不是车,不可能是重复袭击。但这意味着在重置发生之前捕获的代码(从未进入汽车)将被接受。
Csikor说这是RollJam攻击的关键所在首次亮相(在新窗口打开)七年前不同的研究人员得出的结论。RollJam设备使用了低成本材料,捕捉了一个按键信号,然后干扰电波,捕捉到第二次按键。第二个信号从来没有到达汽车,攻击者可以在以后使用它来解锁汽车。
事实证明,干扰和重播的整个过程可能是不必要的。Csikor解释说,对于某些车辆,攻击者只需要回放一些先前捕捉到的按键(在新窗口打开)“回滚”汽车的计数器。即使他们已经被汽车检测到,任何先前捕捉到的按键动作都将被汽车接受。
不仅如此,这种攻击还可能在未来被复制。攻击者只需要在未来的任何时候重新按下按钮——即使是在车主重复使用钥匙链之后——汽车就会接受信号并解锁。黑帽组织发布的一段新视频显示,在被捕获后的100多天里,回放的信号被成功使用。
Csikor展示了几段袭击的视频。他没有使用定制的RollJam设备,而是使用了一台标准的联想ThinkPad,它与HackRF软件定义的无线电单元相连——这可能要花费数百美元。在屏幕上,他捕捉到了起亚钥匙扣的五次按键动作。可以看到这辆车对所有这些都做出了反应。然后他播放了前两个,但被忽略了,但接下来的三个被车辆接受了。
它会变得更好(或更糟)。Csikor说,自从他们向黑帽提交论文以来,团队就发现了这一点任何连续按下按钮,汽车的计数器就会倒退。混合使用顺序锁定和解锁信号就足够让RollBack工作了。
哪些汽车会受到影响?
该团队将公布他们测试的车辆的完整名单,但不是现在。在Csikor演示中列出的20辆汽车中,只有6辆不受RollBack攻击的影响。
在研究小组观察的三辆现代汽车中,只有一辆被“RollBack”攻击。接受测试的日产汽车中有三分之二容易受到影响,但被评估的四辆丰田汽车中没有一辆受到影响。
在每个汽车品牌中,需要捕捉的按键数量是一致的,甚至在不同的车型和车型年份中也是如此。易受攻击的日产、起亚和现代车型只需要按两个按钮,而所有易受攻击的本田车型都需要按五个按钮。
Csikor强调,这个问题并不局限于老旧汽车。无论是2020年款的新车,还是2009年款的旧车,都很容易受到影响。
这个问题能解决吗?
NCS集团网络安全研发总监Hoon Wei Lim表示,该团队于2022年4月向受影响的关键fob制造商报告了他们的研究,并于5月向汽车信息共享与分析中心(Auto-ISAC)报告了他们的研究。我们也联系了所有受影响的汽车制造商,并正在调查这一问题。
尽管做了这些工作,但研究人员承认,他们仍然有很多不知道的地方。例如,他们只测试了他们在东南亚获得的车辆。这只是道路上所有汽车的一小部分,所以他们不确定这个漏洞有多普遍。
他们也不知道为什么车辆的行为就是这样。Csikor解释说,车辆系统是专有的,团队还不能拆开一辆车进行调查。一个可能的线索来自一家名为Microchip的钥匙链制造商,该公司拥有车主将新钥匙链与车辆配对的过程的公开文件。其中一些结果与该团队的研究相符,但并非全部。Csikor还指出,大部分工作是由车内的接收器完成的,而不是钥匙链。这表明,解决这个问题可能取决于汽车制造商。
因此,该团队不确定制造商可以引入什么样的解决方案。一种可能是将时间戳与滚动代码系统一起使用。
在了解更多信息之前,最好的办法可能是像林勋伟(Hoon Wei Lim)在演讲开始时所做的那样:请人们不要黑他的车。
请继续阅读PCMag的最新黑帽.