美國(guó)有線電視新聞網(wǎng)近日消息，信息安全研究人員披露，這些汽車(chē)的鑰匙芯片使用了過(guò)時(shí)的加密技術(shù)，假設(shè)有人監(jiān)聽(tīng)芯片的通訊過(guò)程(只需兩次)，就可以輕易地通過(guò)計(jì)算機(jī)識(shí)別其中的模式，復(fù)制鑰匙和芯片。這一缺陷早在2012年就已發(fā)現(xiàn)。不過(guò)，大眾汽車(chē)公司通過(guò)將三名研究者告上法庭，使得這一問(wèn)題塵封兩年多。

　　研究報(bào)告公布了存在這一技術(shù)缺陷的車(chē)輛，包括大眾、奧迪、菲亞特、本田、起亞、沃爾沃等多個(gè)車(chē)企的多款車(chē)型。英國(guó)《每日郵報(bào)》指出，這其中還有很多豪華車(chē)型，如保時(shí)捷、瑪莎拉蒂、法拉利。

　　荷蘭內(nèi)梅亨大學(xué)的洛爾·維爾杜特為三名研究者之一，今晨接受法晚記者采訪時(shí)稱(chēng)，這一漏洞有點(diǎn)像你設(shè)置的密碼就是“密碼”兩字。

　　隱患不小

　　科學(xué)家稱(chēng)車(chē)鑰匙加密技術(shù)過(guò)時(shí) 芯片易被復(fù)制

　　過(guò)去，竊賊使用電線手動(dòng)開(kāi)啟一輛汽車(chē)，如今汽車(chē)鑰匙中配有相關(guān)的計(jì)算機(jī)芯片，其在工作時(shí)向汽車(chē)發(fā)送正確代碼，汽車(chē)才能夠發(fā)動(dòng)。這從某種程度上阻止了單純復(fù)制鑰匙便開(kāi)啟汽車(chē)的竊賊。

　　然而，本以為是萬(wàn)無(wú)一失的安全保護(hù)措施，卻被科學(xué)家們發(fā)現(xiàn)了芯片中存在嚴(yán)重的漏洞。根據(jù)研究，汽車(chē)鑰匙的芯片使用了過(guò)時(shí)的加密技術(shù)，通過(guò)監(jiān)聽(tīng)其通訊過(guò)程(只需兩次)，就可以輕易地通過(guò)計(jì)算機(jī)識(shí)別其中的模式，復(fù)制鑰匙和芯片。

　　研究人員測(cè)試發(fā)現(xiàn)，用不了半小時(shí)的時(shí)間便發(fā)動(dòng)了汽車(chē)。警方也表示，一個(gè)有技術(shù)頭腦的罪犯只需60秒即可將汽車(chē)盜走，在倫敦被盜的車(chē)輛中，通過(guò)門(mén)鎖偷車(chē)的比例占到42%。一名黑客能夠偽裝成代駕盜取大量汽車(chē)，或是在將租賃的汽車(chē)返還很久之后再次將車(chē)輛盜取。(法制晚報(bào)微信公號(hào)：fzwb_52165216)

　　涉及品牌

　　大眾、本田、保時(shí)捷上“風(fēng)險(xiǎn)榜” 缺陷隱瞞兩年

　　三名歐洲計(jì)算機(jī)安全科學(xué)家2012年就發(fā)現(xiàn)了這一缺陷，他們同時(shí)警告汽車(chē)制造商問(wèn)題所在。

　　英國(guó)《每日郵報(bào)》報(bào)道指出，受影響車(chē)輛包括大眾、本田、起亞、沃爾沃等汽車(chē)品牌的多個(gè)車(chē)型，其中不乏豪華車(chē)型，如保時(shí)捷、瑪莎拉蒂等?！耙粋€(gè)更好的加密技術(shù)，會(huì)使破解代碼成為不可能?！毖芯空邔?duì)于一些豪華汽車(chē)也使用這樣的過(guò)時(shí)加密技術(shù)感到吃驚，并表示消費(fèi)者往往希望在價(jià)格昂貴的汽車(chē)上有其他更好的選擇。

　　報(bào)道稱(chēng)，上述車(chē)型都依賴(lài)瑞士EM Microelectronic芯片。在漏洞發(fā)現(xiàn)后，研究人員立即通知了汽車(chē)廠商，并給其9個(gè)月的時(shí)間去修復(fù)，解決之后便把芯片的漏洞公之于眾。

　　然而，2013年，大眾汽車(chē)將研究者所在的大學(xué)以及三名研究者告上法庭。根據(jù)法院文件顯示，大眾阻止研究者將其研究向同行學(xué)者公開(kāi)。法院方面最初出于汽車(chē)用戶(hù)安全考慮對(duì)大眾表示支持。

　　直到日前，研究者同意隱去報(bào)告中的一些關(guān)鍵信息，雙方才最終達(dá)成和解。隱去的細(xì)節(jié)問(wèn)題能夠使得一個(gè)非技術(shù)人員都可以進(jìn)行“攻擊”行為。

　　公司回應(yīng)

　　大眾：愿意更新軟件

　　已量產(chǎn)車(chē)輛硬件換不了

　　今天上午，大眾汽車(chē)集團(tuán)(中國(guó))公關(guān)傳播部劉香向法晚記者發(fā)送了大眾汽車(chē)針對(duì)此事的官方聲明。聲明稱(chēng)，內(nèi)梅亨大學(xué)和伯明翰大學(xué)的研究人員及其他科學(xué)家對(duì)防盜監(jiān)控系統(tǒng)的弱點(diǎn)等安全技術(shù)進(jìn)行分析研究工作，根據(jù)相關(guān)研究成果顯示，就一些老款車(chē)型(配備的是相關(guān)報(bào)道中所提及的防盜監(jiān)控系統(tǒng))而言，盜竊分子至少需要一套配套的車(chē)鑰匙及2次以上成功啟動(dòng)的記錄才可獲得相關(guān)破譯信息。基于上述事實(shí)，被提及車(chē)型的防盜性能總體上是安全的。研究同時(shí)表明，大眾汽車(chē)現(xiàn)有產(chǎn)品的防盜監(jiān)控系統(tǒng)的安全等級(jí)更優(yōu)。

　　大眾表示，大眾汽車(chē)一直致力于將最尖端的技術(shù)成果應(yīng)用到車(chē)輛電子和機(jī)械安全系統(tǒng)中，確保其始終處于最先進(jìn)的狀態(tài)。大眾汽車(chē)一直致力于在其產(chǎn)品中應(yīng)用最先進(jìn)的安全技術(shù)并不斷研發(fā)改進(jìn)，如有必要，會(huì)為客戶(hù)的車(chē)輛進(jìn)行軟件更新。通常來(lái)說(shuō)，已經(jīng)量產(chǎn)的車(chē)輛無(wú)法進(jìn)行硬件更換。

　　此外，沃爾沃公司強(qiáng)調(diào)這一事件影響的是沃爾沃生產(chǎn)的舊車(chē)型，Megamos Crypto防護(hù)系統(tǒng)并未在沃爾沃目前生產(chǎn)的汽車(chē)上使用。報(bào)告中涉及的菲亞特、起亞等企業(yè)至今未對(duì)這一問(wèn)題作出任何評(píng)論。(法制晚報(bào)微信公號(hào)：fzwb_52165216)

　　對(duì)話研究者

　　問(wèn)題已存在17年 “讓事實(shí)成秘密我們非常吃驚”

　　法晚：為何進(jìn)行這樣的研究？

　　維爾杜特：汽車(chē)的加密技術(shù)簡(jiǎn)單來(lái)看，就是一個(gè)鎖和一把有秘密代碼的鑰匙。從表面看，我們發(fā)現(xiàn)鑰匙有96個(gè)刻痕，但是車(chē)鎖只能夠支持它們中的56個(gè)，這意味著這把鎖是非常脆弱的。而且，我們發(fā)現(xiàn)很多汽車(chē)使用的是更加脆弱的密碼代碼，有時(shí)候使用的密碼，就好比是用“密碼”兩字當(dāng)做真正的密碼！

　　因此，一名攻擊者只需很短的時(shí)間(大約數(shù)分鐘)，就能侵入汽車(chē)和其鑰匙系統(tǒng)，竊聽(tīng)它們之間的通訊內(nèi)容。攻擊者通過(guò)竊聽(tīng)獲得大量的數(shù)據(jù)，因而能夠在數(shù)天內(nèi)計(jì)算出密碼代碼，并能夠返回其要攻擊的目標(biāo)車(chē)輛，使用復(fù)制的電子鑰匙開(kāi)啟汽車(chē)。

　　法晚：這一缺陷存在很久了？

　　維爾杜特：汽車(chē)安全系統(tǒng)應(yīng)該被設(shè)計(jì)得更加完善。我們發(fā)現(xiàn)的問(wèn)題屬于設(shè)計(jì)問(wèn)題，而且自1998年起就存在。如果關(guān)于設(shè)計(jì)方面的發(fā)現(xiàn)能夠被公開(kāi)討論，很有可能像這樣不安全的系統(tǒng)就不大可能被安裝在汽車(chē)上。

　　法晚：那如何看待大眾要求不公開(kāi)研究中的關(guān)鍵信息？

　　維爾杜特：對(duì)于大眾能夠勸服法官下達(dá)禁令，讓這些事實(shí)成為秘密，我們感到非常吃驚。其實(shí)，對(duì)于英國(guó)法院發(fā)出的禁令，荷蘭內(nèi)梅亨大學(xué)和英國(guó)伯明翰大學(xué)立即發(fā)起挑戰(zhàn)，因?yàn)槭紫妊芯空呤褂玫年P(guān)于芯片的數(shù)據(jù)是完全合法的，其次，在建議公開(kāi)研究成果前的9個(gè)月，制造商已經(jīng)被通知該問(wèn)題。

　　此外，這一研究是關(guān)于汽車(chē)所用芯片安全水平的科研分析，而非黑客行為。內(nèi)梅亨大學(xué)作為強(qiáng)烈的抗辯者，相信汽車(chē)持有者有權(quán)知道其汽車(chē)安全性如何以及弱點(diǎn)所在。

　　法晚：汽車(chē)安全系統(tǒng)有無(wú)其他選擇？

　　維爾杜特：自2007年起就有其他的安全保護(hù)系統(tǒng)可以選擇，這些安全系統(tǒng)擁有更加安全的程序保護(hù)(如AES)。但是讓我們意外的是，價(jià)格昂貴的汽車(chē)竟然也使用一些不安全的芯片來(lái)保護(hù)汽車(chē)。

　　我們?cè)?012年11月就通知了芯片制造商，也與他們和汽車(chē)制造商的電子技術(shù)防盜系統(tǒng)制造商一起合作，增加安全性和減少問(wèn)題的發(fā)生。但是關(guān)于這一問(wèn)題的最好解決方案是使用更加安全的加密算法。

　　追訪專(zhuān)家

　　系統(tǒng)升級(jí)可解決問(wèn)題

　　涉及車(chē)多、成本很高

　　對(duì)于研究者披露的問(wèn)題，美國(guó)專(zhuān)業(yè)汽車(chē)評(píng)估公司“凱利藍(lán)皮書(shū)”汽車(chē)研究主管卡爾·布勞爾接受法晚記者采訪時(shí)表示，這暗示了這一種加密模式只需簡(jiǎn)單的竊聽(tīng)鑰匙和汽車(chē)之間的通訊就能容易地被竊取。這也意味著一個(gè)竊賊能夠監(jiān)測(cè)鑰匙和汽車(chē)之間的信號(hào)，并能快速地解讀出解鎖車(chē)門(mén)的代碼，甚至解讀出開(kāi)啟汽車(chē)的代碼。(法制晚報(bào)微信公號(hào)：fzwb_52165216)

　　布勞爾說(shuō)，解決這一問(wèn)題可以進(jìn)行適用于遠(yuǎn)程鑰匙系統(tǒng)的安全系統(tǒng)升級(jí)，但是這其中牽涉成本的問(wèn)題。此外，由于牽涉該問(wèn)題的汽車(chē)數(shù)量較多，如果制造商將全部受影響車(chē)輛進(jìn)行升級(jí)，所花費(fèi)的成本將會(huì)很高。因此，私人車(chē)主如果擔(dān)憂其汽車(chē)安全的話，可以單獨(dú)對(duì)汽車(chē)系統(tǒng)進(jìn)行升級(jí)。

　　布勞爾表示，通過(guò)該問(wèn)題也讓人們吸取到一些教訓(xùn)，出于安全目的使用科技無(wú)可厚非，但是這也意味著制造商必須考慮長(zhǎng)期的問(wèn)題，并考慮到假設(shè)竊賊獲得該技術(shù)侵入其安全系統(tǒng)的可能性。制造商應(yīng)該使用更為先進(jìn)的加密系統(tǒng)，如果汽車(chē)鑰匙和汽車(chē)之間的信號(hào)被竊聽(tīng)，也應(yīng)該能夠確保汽車(chē)的安全。