Global Sources
電子工程專輯
 
電子工程專輯 > 嵌入式技術
 
 
嵌入式技術  

汽車免鑰匙啟動系統不安全?

上網時間: 2015年08月18日     打印版  Bookmark and Share  字型大小:  

關鍵字:免鑰匙啟動系統  keyless  應答器  安全  密鑰 

根據最近在2015年Usenix Security學術會議上發佈的一份研究報告,揭示了在Audi、Fiat、Honda、Volkswagen、Volvo以及其他採用免鑰匙(keyless)啟動系統的汽車中用於保護功能的Megamos Crypto應答器存在缺陷。這一事實顯示汽車竊賊並不需要鑰匙,就能輕易偷走採用免鑰匙認證保護的汽車。

事實上,這份報告原本預定在2013年發表,然而,Megamos Crypto系統的開發廠商Thales與Volkswagen在英國提起訴訟,而使得這份出版品一再延宕。儘管研究人員在預期發佈的九個月前即已提出警告,但這兩家公司認為這份報告可能的發表,可能鼓勵並加劇技藝專精的汽車竊賊迴避保護措施而偷車。

而這也正是該報告作者——英國電腦科學家Flavio Garcia以及荷蘭研究人員Baris Ege與Roel Verdult認為必須正視這個問題的原因,特別是針對他們所測試的2012年車款。「在這份報告中暗示可能發生的攻擊,對於那些採用免鑰匙啟動系統的汽車來說特別嚴重,」研究人員總結說:「從汽車中取走機械鑰匙後,並未因此而在某種程度上增強加密機制。」

然而,免鑰匙啟動系統其實都有鑰匙。儘管採用免鑰匙系統的汽車可能都配備一個啟動按鍵,以取代機械鑰匙埠,用於驗證車主身份以及允許汽車引擎發動,它依靠的是一個儲存在RFID晶片中的密鑰。

而Megamos Crypto應答器採用96位元的密鑰。根據研究人員指出,這種應答器本身存在多種缺點。它並沒有隨機亂數產生器,使其十分易於遭受重送攻擊(replay attack)。此外,其內部密碼僅使用56位元組成,則是另一個問題。


(來源:Flavio Garcia、Baris Ege與Roel Verdult;他們勇敢地指出所測試的車款。)

研究人員們只花了30分鐘的時間,就從應答器取得了96位元的密鑰。第二次的破解花的時間較長一些,但也只用了兩個半小時。

但這不只是針對Megamos Crypto應答器的問題。在這份報告中,研究人員指出針對其他廣泛使用的汽車防盜器應答器,如DST40、Hitag2與Keeloq,也都存在已知的攻擊。

Volkswagen汽車公司尚未針對這份報告發表任何評論。

今年二月,英國倫敦警察廳表示,去年一整年有超過6,000起汽車在未使用鑰匙的情況下遭竊的案件,佔所有汽車失竊案件的42%。倫敦警察廳指出,儘管有部份的汽車失竊案件是整輛車被拖走,但大部份的情況「似乎都是有組織的犯罪份子利用編程器複製鑰匙後開走汽車。」

不過,這樣的盜竊案件可能與報告中提及的方式無關。如同倫敦警察廳所指出的,採用免鑰匙啟動系統的汽車通常都是被竊賊利用電子或強行闖入的方式,然後再利用電路板診斷埠(OBD)編寫一個新鑰匙即可開車汽車。

這種盜車方式在美國似乎並不常見。去年,美國國家保險犯罪局(NICB)警告說,利用免鑰匙認證系統來開啟車鎖的汽車竊賊主要都是採用掃描診斷盒來竊取車內的個人物品。

但NICB發言人Frank Scafidi表示尚未接獲任何舉報駭入無鑰匙系統汽車的竊盜案件,但他指出,利用OBD竊車的竊盜案件正持續增加中。

編譯:Susan Hong

(參考原文:Keyless Security Not So Secure,by Thomas Claburn)





投票數:   加入我的最愛
我來評論 - 汽車免鑰匙啟動系統不安全?
評論:  
*  您還能輸入[0]個字
*驗證碼:
 
論壇熱門主題 熱門下載
 •   將邁入40歲的你...存款多少了  •  深入電容觸控技術就從這個問題開始
 •  我有一個數位電源的專利...  •  磷酸鋰鐵電池一問
 •   關於設備商公司的工程師(廠商)薪資前景  •  計算諧振轉換器的同步整流MOSFET功耗損失
 •   Touch sensor & MEMS controller  •  針對智慧電表PLC通訊應用的線路驅動器
 •   下週 深圳 llC 2012 關於PCB免費工具的研討會  •  邏輯閘的應用


EE人生人氣排行
 
返回頁首