電子產(chǎn)品的偶爾小失靈，未必是接觸不良。如果你用電子車鑰匙開車門時(shí)，發(fā)現(xiàn)操作兩次才能打開車門，那你就要小心了。這不是一個(gè)技術(shù)小故障，很可能是你的電子車鑰匙成為了黑客攻擊的入口?，F(xiàn)在就有這么一個(gè)設(shè)備擺在你的面前，它的名字叫“RollJam”。

在拉斯維加斯DefCon黑客大賽上，帶著這個(gè)設(shè)備上臺(tái)的是個(gè)老面孔。沒錯(cuò)，你們熟悉的Samy Kamkar又來了!上次用個(gè)紙巾盒大小的設(shè)備黑了通用車后，他又在自己的破解列表上添了一筆新戰(zhàn)績，而且跑到DefCon發(fā)表了新型無線設(shè)備“盜車法”的演講。

“RollJam”，有圖真相

小設(shè)備盜啟車鎖，只要一個(gè)兒童玩具機(jī)?

先看看“RollJam”是個(gè)什么設(shè)備?？梢詿o線通訊，大小和智能機(jī)相仿，成本也就32刀的樣子。Samy Kamkar用這個(gè)“作案工具”竊聽、記錄無線車鑰匙的指令，破解車門電子鎖，并且在破解之后相當(dāng)長的一段時(shí)間里，都可以不再借助車主的開鎖操作，自行打開車門。

車主開鎖時(shí)竊取電子指令，無人時(shí)再發(fā)射開關(guān)車門。這項(xiàng)技術(shù)聽起來好像也不怎么高明。其實(shí)這種玩法早就被人發(fā)現(xiàn)了，只是借著Samy哥的最新成果展示才被擺上臺(tái)面。而且多年來，使用這種小工具進(jìn)車行竊的案例不勝枚舉。黑客能重復(fù)開關(guān)車門，是因?yàn)殚_關(guān)門的“ISM無線電信號(hào)”始終用了同一個(gè)電子解鎖碼。

BUT，車企也不是傻子。他們用“滾動(dòng)碼”(rolling codes)系統(tǒng)代替了老式的“ISM無線電信號(hào)”，而正如名字那樣，新系統(tǒng)中車鑰匙發(fā)射的密碼每次一換，黑客用同一個(gè)密碼開門，就會(huì)因?yàn)榇a重復(fù)使用被拒絕，強(qiáng)行進(jìn)入還可能會(huì)觸發(fā)警報(bào)。

但是“RollJam”有些不同。它可以被藏在目標(biāo)車輛上或者車庫里，等待毫不知情的車主在車邊按下無線鑰匙解鎖車門。前半段故事情節(jié)有點(diǎn)老套，但是隨后車主會(huì)發(fā)現(xiàn)第一次沒有響起開鎖聲，不過重試一下又成功了。之后Samy Kamkar可以隨時(shí)隨地取回“RollJam”，在車邊按下設(shè)備上的一個(gè)按鈕打開車門。

之所以能做到這點(diǎn)，是因?yàn)?ldquo;RollJam”瓦解了“滾動(dòng)碼”的安全防護(hù)措施。而這種防護(hù)方法被用在當(dāng)今多數(shù)汽車和卡車的無匙進(jìn)入系統(tǒng)、警報(bào)系統(tǒng)，以及車庫門禁系統(tǒng)。

我們不妨來模擬一個(gè)攻擊場景詳細(xì)分析下其中的原理，假設(shè)一個(gè)受害車主，姑且稱他為黑土。

1. 黑土第一次按下鑰匙，想要打開車門。“RollJam”一方面會(huì)把車鑰匙信號(hào)碾碎，另一方面會(huì)發(fā)出兩股同頻無線電信號(hào)噪音，干擾車門端接收器。幾乎同時(shí)，“RollJam”會(huì)收聽到第三個(gè)信號(hào)，這個(gè)信號(hào)比較微弱，正是可以解鎖車門的密鑰。避開原本的車門接收器，“RollJam”記錄并存儲(chǔ)了這個(gè)密碼。

2.好，黑土又按了一次。這回RollJam又繼續(xù)粉碎鑰匙端信號(hào)，記下了第二個(gè)代碼。說時(shí)遲那時(shí)快，“RollJam”調(diào)皮地播放了第一個(gè)代碼。結(jié)果呢，第二次開門用了第一次未被車端接收的密碼，自然是“成功”開了門。

“RollJam”破解“兩部曲”

如果“RollJam”被捆綁在車上或者丟在車庫不遠(yuǎn)的小角落里，他就能在黑土每次按下鑰匙時(shí)，重復(fù)上述碾碎和截取操作，然后替換為上一次的code，把這次的code存為下次使用。所以無論黑土什么時(shí)候開車門，“RollJam”也都能為你偽裝一枚全新的未曾使用的密碼。心懷不軌的人挑個(gè)四下無人的機(jī)會(huì)，就能一鍵開門偷取車上的所有東西。

這種破解方法聽起來有點(diǎn)不厚道，而且好多黑客會(huì)認(rèn)為，沒有在代碼和系統(tǒng)上直接破解，算不得什么英雄好漢。不過白帽黑客更多是尋找可能的危險(xiǎn)漏洞，關(guān)鍵是車主覺得難得出個(gè)故障也沒什么好奇怪，開兩次才成功很平常啊。但是當(dāng)他像往常一樣開車回家，卻不知道別人那里已經(jīng)有了可以打開他車門的密碼。

在DefCon黑客大賽上，Samy哥詳細(xì)展示了“RollJam”攻擊無線控制門禁、車庫和汽車的方法。而且他介紹，目前很多汽車現(xiàn)在都能由GSM的移動(dòng)設(shè)備控制，甚至有更多的車可以被頻射的無線網(wǎng)絡(luò)電子鑰匙解鎖、發(fā)動(dòng)，低成本工具就能攻破汽車的網(wǎng)絡(luò)安全防線。比如他自己，就在Youtube上傳過一個(gè)用按上信號(hào)發(fā)射天線的兒童打字玩具開關(guān)車庫門的視頻。

都是芯片惹的禍

Samy Kamkar自稱已經(jīng)在日產(chǎn)、凱迪拉克、福特、豐田、蓮花和大眾以及克萊斯勒車上測試了“RollJam”的有效性。而且還在Cobra、Viper、 Genie和Liftmaste一眾使用“滾動(dòng)碼”的車庫電子門禁系統(tǒng)上測試成功。根據(jù)現(xiàn)在市場上的產(chǎn)品情況，Samy Kamkar預(yù)測上百輛車和車庫門都會(huì)因此受到攻擊。

白帽黑客的使命是幫助企業(yè)解決目前的電子安全問題，然后修復(fù)這些容易遭到攻擊的漏洞。在人們追問漏洞出處時(shí)，Samy Kamkar提到，他堅(jiān)信問題根源在于多家企業(yè)使用的芯片存在問題。這些芯片分別來自美國微芯科技有限公司生產(chǎn)的Keeloqand芯片以及德州儀器出售的Hisec芯片。

在上一起攻擊通用車案例就出過長文報(bào)道的“連線”記者再度出動(dòng)。他們聯(lián)系了上述幾家車企和車庫門禁公司，但是所得回應(yīng)寥寥。開門機(jī)公司Liftmaster和大眾汽車不予置評(píng)，一名Viper公司的發(fā)言人稱，他們會(huì)研究一下Samy哥案例中的細(xì)節(jié)信息。

值得注意的是，凱迪拉克的發(fā)言人David Caldwell回了一封郵件，里面寫道：“我們網(wǎng)絡(luò)安全的專家對(duì)這種破解方法很熟悉，而且他確定這種方式只能破解凱迪拉克早年生產(chǎn)的一些車款，最新生產(chǎn)的凱迪拉克車型已經(jīng)換上了一套新的安全防護(hù)系統(tǒng)”。

這封郵件回應(yīng)包含的一個(gè)隱藏信息點(diǎn)是：Samy哥已經(jīng)不是第一個(gè)用這種粉碎、截取和重播的方式攻擊汽車電子系統(tǒng)的第一人，這個(gè)問題我們早就知道啦~可以查證的資料顯示，去年三月的時(shí)候，安全專家Spencer Whyte在一篇文章中提到，他也已經(jīng)制造了一種類似的設(shè)備。[!--empirenews.page--]

對(duì)此Kamkar的回應(yīng)是，自己研發(fā)的“RollJam”是個(gè)更加精準(zhǔn)的版本，與Whyte的方法比更加自動(dòng)化。“RollJam”不需要像Whyte那樣，把主設(shè)備連接到筆記本電腦。而且Whyte看起來想把這項(xiàng)破解方法保密起來，Samy Kamkar在Defcon演講之前，都一直把破解方式公開在Github網(wǎng)站上。

不過Kamkar也贊同，凱迪拉克的回應(yīng)說的沒錯(cuò)。“RollJam”在攻擊凱迪拉克新款汽車時(shí)的確沒有成功。原因在于他們使用了最新版的Keelop芯片——Dual Keelop。這種芯片集成了一種密鑰系統(tǒng)，會(huì)讓密鑰在較短時(shí)間內(nèi)失效，因此可以阻擋類似“RollJam”的攻擊。

值得車企思考的一點(diǎn)是，Google Authenticator或RSA’s SecurID這樣的互聯(lián)網(wǎng)身份驗(yàn)證系統(tǒng)之所以使用codes，Kamkar指出，其中的原因之一，就在于這種驗(yàn)證方式可以在數(shù)秒后讓密鑰失效，安全可靠更高?；ヂ?lián)網(wǎng)行業(yè)里已經(jīng)有先例發(fā)生，車企應(yīng)該知道，使用滾動(dòng)碼卻不添加代碼失效是一種偷懶且傻的行為，完全無法滿足產(chǎn)品安全。

Samy哥制造“RollJam”的目的，就是為了證明汽車和車庫門禁公司要及時(shí)更新加入失效密碼的功能，不然消費(fèi)者就會(huì)成為下一個(gè)黑土。當(dāng)傳統(tǒng)車企所需的電子專業(yè)技術(shù)要求越來越高，白帽黑客的存在才顯得至關(guān)重要吧。