【烽巢網(wǎng)-科技PRO新聞報道】

上周的特斯拉安全更新可能比公司公布的更緊迫。魯汶大學(xué)(KU Leuven)的研究人員已經(jīng)找到了一種方法來惡搞特斯拉的關(guān)鍵離岸價系統(tǒng)，正如《連線》雜志(Wired)最先報道的那樣。這樣一來，攻擊者只需從車主身邊走過，克隆他的鑰匙，就能偷到一輛特斯拉。

這次攻擊的意義尤其重大，因為特斯拉開創(chuàng)了無鑰匙進(jìn)入的概念，這一概念已經(jīng)傳播到大多數(shù)豪華汽車。這種特殊的攻擊似乎只對6月份之前交付的Model S車型有效，在上周的更新中，特斯拉推出了一項更新，加強(qiáng)了對其余車型的加密。更重要的是，在汽車啟動前，公司增加了要求密碼的選項，有效地為你的汽車增加了兩個因素。在當(dāng)時，這種攻擊似乎有些過頭了——但知道這種攻擊是可能的，因此可能值得一試。特斯拉車主可以通過在“設(shè)置”的“門和鎖”部分禁用被動輸入來添加PIN碼。

攻擊本身是相當(dāng)復(fù)雜的。由于來回通信的協(xié)議，攻擊者首先必須嗅出汽車的無線電ID(從汽車上一直廣播)，然后將該ID廣播轉(zhuǎn)發(fā)到受害者的密鑰卡上，并偵聽響應(yīng)，通常在距離卡上3英尺的范圍內(nèi)。如果他們能來回做兩次，研究小組發(fā)現(xiàn)他們可以回去工作的秘密鑰匙驅(qū)動fob的反應(yīng)，讓他們解鎖汽車和啟動引擎。

值得注意的是，特斯拉的汽車已經(jīng)具備了相當(dāng)?shù)姆辣I能力，因為永久開啟的GPS追蹤系統(tǒng)經(jīng)常能讓受害者在被偷后追蹤并取回自己的汽車，而這反過來又鼓勵了盜車賊去別處尋找回報。盡管如此，為你的汽車輸入pin碼是一個很小的代價，特別是現(xiàn)在有公共研究顯示如何突破不那么復(fù)雜的協(xié)議版本。

這樣的攻擊在汽車安全領(lǐng)域引起恐慌已經(jīng)不是第一次了。多年來，大眾汽車(Volkswagen)一直在與Megamos應(yīng)答器的一個缺陷作斗爭，該缺陷允許黑客模仿一個關(guān)鍵的假假身份，然后用原本無法動彈的汽車開走。更普遍的情況是，重播攻擊經(jīng)常被用來解鎖汽車，即使很難打開汽車并開走。

對于這些攻擊，我們最好的防御措施基本上就是特斯拉現(xiàn)在所擁有的:一個復(fù)雜的握手，加上健壯的加密，以防止信號被破譯。但這種加密的強(qiáng)度受到keyfob本身的限制，它只能承載這么多處理器能力。隨著研究人員逐漸認(rèn)識到這一點，這些黑客行為將難以避免，這使得一些不那么傳統(tǒng)的修復(fù)方法，如第二因素插腳或RF-blocking鍵錢包等，變得更有吸引力。