分分钟盗走Tesla Model X 的蓝牙攻击

一直以来，让TESLA引以为傲的是其所谓的在线更新技术，在线更新可以自动推送新 代码来修复bug和添加新功能。但一位安全研究人员已经展示了特斯拉ModeIX的 无密码进入系统的安全漏洞：黑客可以通过蓝牙连接覆盖固件，解锁密码，并在积分 钟内窃取ModeIX。

比利时大学KULeuven的安全研究员Lennert Wouters今天透露了他在特斯拉 ModeIX汽车及其无密码入口中发现的_系列安全漏洞。他发现：任何偷车贼都可能 利用这些漏洞，他们设法通过挡风玻璃读取到汽车仪表板上的车辆识别号码--在距离 受害者的钥匙大约15英尺以内作案。搭建盗劫所需的硬件装备花费了 Wouters大约 $300,将这些硬件放进背包内，窃贼通过手机进行控制。在90秒内，便可以提取出 射频密码，解锁ModeIX； Wouters发现的第二个弱点是：一旦偷车贼进入车内， 利用1分钟的时间，将自己的钥匙与受害者的钥匙配对之后，便可驾驶汽车离开。

术结合在一起的话，车主将遭受更惨重的攻击。〃他计划在今年1月的 RealWorldCrypto大会上展示他的发现。

Wouters说，他已经在今年8月份警告过特斯拉Model X无密码进入黑客技术的危 险性。特斯拉公司回复说，计划在本周开始对软件进行更新，可能还涉及汽车的硬 件，以阻止两组攻击之中的至少_组攻击。WIRED还与特斯拉联系，以了解更多关于 其软件修复的信息，但没有得到回应（特斯拉10月解散了新闻发布团队）。特斯拉 告诉Wouters,为了防止黑客入侵，ModeIX的车主应该在未来几周内安装特斯拉 提供给他们的更新，补丁可能需要近一个月的时间才能在所有车辆上完成安装。与此 同时，这位比利时研究人员说，他一直非常小心，不发布任何代码或透露技术细节， 以防止偷车贼利用他的攻击技术。

Wouters利用了他在Model X的无密码进入系统中发现的一系列安全问题一一其中 包括主要问题和次要问题一这些问题加在一起能完全解锁车辆，从而启动和窃取车 辆。首先，ModeIX的车钥匙缺少固件更新的密码签名，特斯拉的ModeIX车 钥匙，可以通过蓝牙无线连接到ModeIX内部的计算机来实现在线固件更新，但没有 确认新的固件代码有来自特斯拉的不可伪造的密码签名。Wouters发现他可以用自己 的电脑和蓝牙接入目标ModeIX的车钥匙锁，重写固件，利用它访问到车钥匙锁内部 的加密芯片，利用该芯片为车辆生成解锁代码。然后，通过蓝牙将解锁代码发回自己 的计算机，整个过程耗时90秒。

起初，Wouters发现建立蓝牙连接并不那么容易。Model X车钥匙锁的蓝牙射频信 号的唤醒〃状态只能持续几秒钟。随后，Wouters很快发现负责ModeIX无密 码接入系统的计算机中，有一个车身控制模块（body control module, BCM)也可

了不到$100, -Wouters利用它将攻击射频信号发送给车钥匙。（初始化唤醒命令必 须在大约15米以内的近距离发射，但如果车辆在户外，可以在数百英尺外执行固件更 新。）

Wouters还发现，BCM从汽车VIN号码的最后五位数字导出了一个识别代码，它是 车钥匙锁身份的唯一识别码。窃贼可以透过目标汽车的挡风玻璃，读取仪表盘上的这 些数字，然后可以用它为盗版BCM创建一个密码。Wouters说：“最终，你会认为 复制了一个属于目标车辆的BCM,强制复制的BCM给目标车辆的车钥匙锁发送唤醒 命令。

但是，即便是最聪明的黑客攻击，也只实现了 Wouters的第一步解锁功能。为了能 实现驾驶车辆，还得进行下一步攻击。一旦打开车门钥匙，进入到Model X之后， Wouters可以将自己的计算机插入车辆上的一个端口，该端口位于显示器下的小面板

之上。他说，这可以在几秒钟内完成，不用任何其它工具。计算机通过该端口发送

的的车钥匙配对，实际上是告诉汽车伪造的钥匙是有效的。虽然每个ModelX钥匙锁 都包含一个唯一的密码证书，利用该证书来阻止汽车与假钥匙配对，但Wouters发现 BCM实际上没有检验该密码证书。利用这个漏洞，实现假车辆钥匙的有效性验证，

并把车开走一一只需_分钟的时间。

Wouters定制的特斯拉ModelX黑客工具，成本约$300,包括一个ModelX车身控 制模块，_个拆卸的车钥匙锁，_个RaspberryP丨小型计算机和一个电池。

Wouters指出，他发现的两个最严重的漏洞一钥匙锁固件更新缺乏验证，新的钥匙 锁与汽车配对也缺乏验证一表明ModelX的无密码输入系统的安全设计与具体实现 之间存在明显的脱节。Wouters说：“虽然这个系统拥有了安全的全部内容，但 是，这几个小错误却让我可以规避所有的安全措施。

为了演示他的技术，Wouters组装了一个面包盒大小的设备，其中包括RaspberryP丨 小型计算机、二手Model X BCM、车辆密码锁、电源转换器和电池。整个套件，包 括可以发送和接收射频命令的所有装备，花费他不到$300。设计完成之后，

Wouters便可以悄悄地控制它：输入汽车的VIN号码，解锁代码，并通过智能手机上 的_个简单命令提示符配对新的密钥，如上面的视频所示。

Wouters说，没有证据表明他的技术被用于真实世界的汽车盗窃。但近年来，窃贼 们已经盯上了特斯拉的无密码进入系统，通过放大车钥匙锁的信号，解锁和启动汽 车，达到盗窃车辆的目的，即便是车钥匙锁位于受害者的家中，汽车停在车道上，他 们也能盗到车。

伯明翰大学的研究人员弗拉维奥•加西亚(Flavio Garcia),专注于汽车无密码进入系统 的安全问题，他说：“如果沃特斯没有警告特斯拉，他的方法就很容易付诸实施，我 认为这是一个现实的场景，许多漏洞交织在一起，从而构建出一个端到端的、实用的 车辆攻击。

这_次暴露的Model X黑客技术并不是Wouters首次发现的漏洞，他曾两次发现特 斯拉Model S无密码进入系统中的漏洞，这些系统同样允许利用射频信号实现汽车盗 窃。即使如此，他认为特斯拉在无密码进入安全方面的做法并没有什么独到之处。 类似的系统可能同样脆弱。Wouters说：“ModelS是很酷的汽车，所以作案很有 意思。如果我花同样多的时间去研究其他品牌的汽车，可能会发现类似的问题。

Wouters指出：特斯拉的独特之处是，与许多其他汽车制造商不同，它有能力实现OTA软

件补丁，而不是要求司机把他们的车钥匙锁拿到经销商那里进行更新。然而，汽车却与个人 电脑不同：即便更新机制带有可以破解的漏洞，它也应为特斯拉车主提供解决问题的生命保 障机制。