大眾汽車存嚴重保安漏洞 300元製簡單遙控 可隨時打開車門
全球最大的德國大眾汽車(Volkswagen)繼去年爆出廢氣排放測試作弊事件之後,近日又傳出涉及上億部旗下汽車的門鎖保安漏洞。有研究人員發現,只要花30英鎊(約300港元)購買電子零件,就可在家裏製作簡單無線電接收器,截取大眾汽車門鎖遙控器發出的密碼訊號,複製出一樣的遙控器,輕鬆打開車門。
英國伯明翰大學(University of Birmingham)與德國資訊保安公司Kasper &Oswald發表研究報告,說明如何輕易駭入大眾汽車的「免鑰匙進入系統」(Keyless Entry System)。 通常一輛汽車的車匙都配有一個遙控器,只要車主按一按遙控器上的鍵,便能很方便地將車門解鎖或上鎖,甚至啟動汽車,這就是「免鑰匙進入系統」的作用。
要駭入這個系統,必須取得系統的主要密碼及每輛車的獨立密碼。研究人員發現,利用逆向工程(reverse engineer)便可從大眾汽車內部網絡取得主要密碼。他們指出,大眾汽車只將少數主密碼應用在其生產的汽車,因此出現數千萬台汽車共用一個主密碼。而獨立密碼,則可用自家製的無線電接收器竊取。當車主使用遙控器向汽車發出訊號時,在距離汽車91米範圍內便可接收到訊號包含的獨立密碼。有了主密碼及獨立密碼,便可複製出相同的遙控器,打開車門。
德國資訊保安公司:是一場災難
在公布研究報告之前,研究團隊早與福士取得共識,承諾不公開福士汽車「免鑰匙進入系統」的主要密碼。Kasper & Oswald的卡斯柏(Timo Kasper)表示︰「我們都感到頗為震驚。數百萬(大眾汽車)的鑰匙都使用相同密碼,從密碼學的角度來說,那是一場災難。」卡斯柏指,去年11月,研究人員已向大眾汽車發出警告,其後再與大眾汽車會面協助他們了解其保安系統的脆弱之處。
大眾汽車自1995年至2016年期間所生產的各款汽車,包括旗下品牌奧迪(Audi)、西亞特(Seat)、斯柯達(Skoda)的汽車都存在相關保安漏洞,涉事車輛數目達1億部。然而,大眾汽車發言人稱,該車廠目前生產的汽車,包括Golf、Tiguan、Touran、Passat等汽車型號都不會受上述保安問題影響,並指出駭入系統並開動汽車引擎是不可能的。
(BBC)