汽车越来越智能的今天,却也正变得更不安全。不是因为黑客太聪明,而是汽车公司面对这些安全漏洞时没什么有效的处理办法,除了召回。
本月中旬,荷兰内梅亨大学的研究员们终于公开发布了3年前的一项研究:破解Megamos加密算法,远程撬开汽车防盗器。这项研究2013年曾被法官以防止被犯罪团伙利用为理由禁止发布。
乍一看法官的判决还挺有道理,但只要漏洞没有被补上,就有可能被其他人发现并被利用,这时候他们就不一定会提前通知汽车厂商了。
计算机安全届的常规做法早已是允许一定时间后公布漏洞,从而强制出现漏洞的公司尽快修复安全问题。
电子车锁不是第一次出问题
可能法官自己也认为当时传统汽车制造商根本没有好的解决方案。事实也是如此。
就依赖射频识别(RFID)技术的遥控车钥匙而言,你可能经常听说有小偷拿着无线电波段干扰器在车附近徘徊,或者拿模拟其和汽车防盗器之间通信授权协议的假钥匙直接偷车。
这个安全漏洞2008年被公开以来,汽车厂商直到今天也没能解决。反倒是黑客通过软件工具破解遥控车钥匙和汽车防盗器之间加密算法的技术越来越先进了。
破解Megamos加密算法一来不需要靠近整车,二来破解时间更快。研究员们只需要在笔记本电脑上,利用软件工具来回交叉监听遥控车钥匙和Megamos安全加密系统2次,就能将密匙匹配限制在比以往更少的有限数量内。电脑最多只需要试196607次后——短则几分钟,最长也只要半小时,车门就可以被打开。
而车多快会被偷走?这取决于汽车制造商防盗器的出厂密匙结构有多脆弱。另外,汽车防盗器中Megamos加密系统的安全漏洞无法通过在线升级来完成。这其实是更大的bug。
汽车厂商还没有像科技公司一样的安全习惯
汽车内的不少固件模块装置这不同类型的芯片。本质上,它们都是一个个微型的计算机系统,包括汽车防盗器在内。为什么不能像电脑、智能手机一样在线升级呢?
小编推荐阅读