VW keyless新漏洞 可破解複製 一億輛受害 - Audi

先前傳出有低成本的keyless破解法，但那只是轉傳keyless訊號，技術層次沒有很高。

現在最新發表的keyless破解技術大升級，加密金鑰可被破解複製。

根據Wired雜誌的報導，英國伯明罕大學和德國Kasper & Oswald工程公司的研究人員
發現，絕大部份的福斯集團VAG keyless免持鑰匙有安全漏洞，容易被破解開鎖，

只要用低成本40美元的無線電波裝置和一台筆電，就可以破解福斯集團的keyless。

他們只須攔截一次電波訊號就能破解VAG keyless內建的加密金鑰，並能無限次重複使用
，受害車輛總數初估超過一億台以上，本文後面有受害車款名單。

keyless電波攔截裝置適用範圍達100公尺

這次發表的破解法跟以往最大的不同是它徹底破解加密金鑰，複製之後還能無限次使用
。
(圖) 福斯集團的keyless被破解，受害車輛超過一億台以上
http://i.imgur.com/Cr0dodm.jpg
(source: Car and Driver)

(本文PTT網頁好讀版 https://www.ptt.cc/bbs/car/M.1471026572.A.495.html )


這次他們公佈的破解法有兩種，

第一種破解法是「攔截加密訊號，破解並複製加密金鑰」

波及範圍涵蓋絕大部份福斯集團在1995年以後生產keyless車子，
例如2002~2015年的Golf 4,5,6，初估總共有一億輛以上受害。

第二種破解法是「暴力破解法」

只要攔截4~8組keyless電波加密訊號，再用筆電花個「1分鐘」計算，
就能找到另外一組可以通過車輛防盜驗證系統的加密訊號，輕鬆打開車門。

這招適用於NXP公司生產的PCF7946和PCF7947 兩種IC晶片。

波及多家汽車品牌包括Alfa Romeo, Chevrolet, Dacia, Fiat, Ford, Lancia,
Mitsubishi, Nissan, Opel, Peugeot, Renault等旗下的部份車款。


(圖) 無線電波攔截裝置，成本只要40美元，1280元台幣
http://i.imgur.com/soWo052.jpg


除了VW以外，研究人員也發現Audi和Skoda也有許多車款會被破解，
即使新車如2016 Audi Q3照樣可破解。


第一種針對福斯集團車輛的破解法，其運作原理如下

1. 研究人員透過繁複的逆向工程技術，解開並擷取VW車輛內部網路某個元件(的資料)，
最後可以得到一把特殊的加密鑰匙，

而這把加密鑰匙會這麼特殊的原因是他是通用型加密鑰匙 (global master key)，
福斯每個時期的keyless系統 (VW2 ~ VW4)，都會有幾把通用型加密鑰匙，
這些通用型加密鑰匙會分配給同時期的車上keyless系統來使用，
結果就是會有好幾百萬輛車子，共用同一把通用型加密鑰匙的情況發生。

2. 拿著成本40美元的簡易裝置攔截keyless訊號，取得車主鑰匙的加密訊號

3. 利用前面兩項，就能算出並複製車主鑰匙內建的原始加密金鑰，

從此以後，壞人就可以無限次發送合法認證的keyless加密訊號。


研究人員發現，福斯集團的keyless系統分成四個時期 VW-1 ~ VW-4，

第一個時期VW-1(~2005年以前)的keyless並沒有使用到金鑰加密運算，所以很好破解。

至於第二到第四時期VW-2~VW-4的keyless雖然有用到金鑰加密，
但每個時期都有幾把通用型加密鑰匙，給車子的keyless系統來共用(global master key)
，只要拆解keyless，取得firmware，再透過繁複的逆向工程就能破解取得這把通用鑰匙。


(圖) VW的keyless免持鑰匙在拆解後的電路板圖
http://i.imgur.com/L7rQsij.jpg


第一種keyless破解法，研究人員初步測試的破解名單如下，應該還有漏網之魚。

Audi: A1, Q3, R8, S3, TT, 與其他車款 various other types of Audi cars
(e.g. remote control part number 4D0 837l 231)

VW: Amarok, (New) Beetle, Bora, Caddy, Crafter, e-Up, Eos, Fox,
Golf 4, Golf 5, Golf 6, Golf Plus, Jetta, Lupo, Passat, Polo, T4, T5,
Scirocco, Sharan, Tiguan, Touran, Up

Seat: Alhambra, Altea, Arosa, Cordoba, Ibiza, Leon, MII, Toledo

Skoda: City Go, Roomster, Fabia 1, Fabia 2, Octavia, SuperB, Yeti

最新大改款的車種，keyless有改用新架構，因此它們不受影響，
例如Golf 7、全新Passat、全新Tiguan。

至於Porsche, Bentley, Lamborghini, Bugatti，因為車輛比較稀少，所以沒有做測試


(圖) 第二種方法是用暴力破解法，初步破解車款名單
研究人員初步測試的破解名單，這只是冰山的一角，因為他們手上沒有車子可測
http://i.imgur.com/WNUPjip.jpg


◇汽車科技的安全性攸關到自動駕駛車輛的發展

帶領這項研究的Garcia說:

「看到現在的新車還在使用1990年代的安全技術，這種情況讓人有點擔憂」

「如果我們想要能有安全的、自動駕駛的、彼此網路互連的車子，
這種情況一定要改變才行。」

“It’s a bit worrying to see security techniques from the 1990s used in
new vehicles,” says Garcia. “If we want to have secure, autonomous,
interconnected vehicles, that has to change.”


延伸閱讀
[外電] 德國研發出低成本keyless破解器 有9成車款破功 (2016/03)
https://www.ptt.cc/bbs/EuropeanCar/M.1458811298.A.E9D.html


出處
A New Wireless Hack Can Unlock 100 Million Volkswagens
https://is.gd/Bm3fjl

[PDF] Keyless破解的研究報告
Lock It and Still Lose It—On the (In)Security of Automotive Remote Keyless
Entry Systems
https://is.gd/79tiZq

(註: VAG的keyless加密金鑰可被破解，牽連廣泛，只要有註明本文網址，歡迎轉載)

--