鑰匙加密技術過時126款車存被盜風險

126款汽車存在被盜風險，有缺陷的就是其智能鑰匙。

美國有線電視新聞網近日消息，信息安全研究人員披露，這些汽車的鑰匙芯片使用了過時的加密技術，假設有人監聽芯片的通訊過程（只需兩次），就可以輕易地通過計算機識別其中的模式，復制鑰匙和芯片。這一缺陷早在2012年就已發現。不過，大眾汽車公司通過將3名研究者告上法庭，使得這一問題塵封兩年多。

研究報告公布了存在這一技術缺陷的車輛，包括大眾、奧迪、菲亞特、本田、起亞、沃爾沃等多個車企的多款車型。英國《每日郵報》指出，還有很多豪華車型，如保時捷、瑪莎拉蒂、法拉利等存在這種情況。

荷蘭內梅亨大學的洛爾·維爾杜特為3名研究者之一。他在接受記者采訪時稱，這一漏洞有點像你設置的密碼就是“密碼”兩字。

汽車智能鑰匙

隱患不小    車鑰匙加密技術過時

過去，竊賊使用電線手動開啟一輛汽車，如今汽車鑰匙中配有相關的計算機芯片，其在工作時向汽車發送正確代碼，汽車才能夠發動。這從某種程度上阻止了單純復制鑰匙便可開啟汽車的竊賊。

然而，本以為是萬無一失的安全保護措施，卻被科學家們發現了芯片中存在嚴重的漏洞。根據研究，汽車鑰匙的芯片使用了過時的加密技術，通過監聽其通訊過程（只需兩次），就可以輕易地通過計算機識別其中的模式，復制鑰匙和芯片。

研究人員測試發現，用不了半小時便發動了汽車。警方也表示，一個有技術頭腦的罪犯只需60秒即可將汽車盜走，在倫敦被盜的車輛中，通過門鎖偷車的比例占到42%。一名黑客能夠偽裝成代駕盜取大量汽車，或是將租賃的汽車返還后再次將車輛盜走。

涉及品牌    大眾、本田、保時捷上“風險榜”

3名歐洲計算機安全科學家2012年就發現了這一缺陷，他們同時警告汽車制造商問題所在。

英國《每日郵報》報道指出，受影響車輛包括大眾、本田、起亞、沃爾沃等汽車品牌的多個車型，其中不乏豪華車型，如保時捷、瑪莎拉蒂等。研究者對于一些豪華汽車也使用這樣的過時加密技術感到吃驚，并表示消費者往往希望在價格昂貴的汽車上有其他更好的選擇。

報道稱，上述車型都依賴瑞士EM Microelectronic芯片。在漏洞發現后，研究人員立即通知了汽車廠商，并給其9個月的時間去修復，解決之后便把芯片的漏洞公之于眾。

然而，2013年，大眾汽車將研究者所在的大學以及3名研究者告上法庭。根據法院文件顯示，大眾阻止研究者將其研究向同行學者公開。法院方面最初出于汽車用戶安全考慮對大眾表示支持。

直到日前，研究者同意隱去報告中的一些關鍵信息，雙方才達成和解。

公司回應    大眾：愿意更新軟件

昨天上午，大眾汽車集團（中國）公關傳播部的劉香向記者發送了大眾汽車針對此事的官方聲明。聲明稱，內梅亨大學和伯明翰大學的研究人員及其他科學家對防盜監控系統的弱點等安全技術進行分析研究相關研究成果顯示，就一些老款車型（配備的是相關報道中所提及的防盜監控系統）而言，竊賊至少需要一套配套的車鑰匙及2次以上成功啟動的記錄才可獲得相關破譯信息。基于上述事實，被提及車型的防盜性能總體上是安全的。研究同時表明，大眾汽車現有產品的防盜監控系統的安全等級更優。

劉香表示，大眾汽車一直致力將最尖端的技術成果應用到車輛電子和機械安全系統中，確保其始終處于最先進的狀態。并在其產品中應用最先進的安全技術不斷研發改進，如有必要，會為客戶的車輛進行軟件更新。通常來說，已經量產的車輛無法進行硬件更換。

此外，沃爾沃公司強調這一事件影響的是沃爾沃生產的舊車型，Megamos Crypto防護系統并未在沃爾沃目前生產的汽車上使用。報告中涉及的菲亞特、起亞等企業至今未對這一問題作出任何評論。

對話研究者

問題已存在17年 

“讓事實成秘密我們非常吃驚”

記者：為何進行這樣的研究？

維爾杜特：汽車的加密技術簡單來看，就是一個鎖和一把有秘密代碼的鑰匙。從表面看，我們發現鑰匙有96個刻痕，但是車鎖只能夠支持它們中的56個，這意味著這把鎖是非常脆弱的。而且，我們發現很多汽車使用的是更加脆弱的密碼，有時候使用的密碼，就好比是用“密碼”兩字當做真正的密碼！

因此，攻擊者只需很短的時間（大約數分鐘），就能侵入汽車的鑰匙系統，竊聽它們之間的通訊內容。攻擊者通過竊聽獲得大量的數據，能夠在數天內計算出密碼代碼，并能夠返回其要攻擊的目標車輛，使用復制的電子鑰匙開啟汽車。

記者：這一缺陷存在很久了？

維爾杜特：汽車安全系統應該被設計得更加完善。我們發現的問題屬于設計問題，而且自1998年起就存在。如果關于設計方面的發現能夠被公開討論，像這樣不安全的系統就不可能被安裝在汽車上。

記者：如何看待大眾要求不公開研究中的關鍵信息？

維爾杜特：對于大眾能夠勸服法官下達禁令，讓這些事實成為秘密，我們感到非常吃驚。其實，對于英國法院發出的禁令，荷蘭內梅亨大學和英國伯明翰大學立即發起挑戰，首先研究者使用的關于芯片的數據是完全合法的，其次，在建議公開研究成果前的9個月，制造商已經被通知該問題。

此外，這一研究是關于汽車所用芯片安全水平的科研分析，而非黑客行為。內梅亨大學作為抗辯者，相信汽車持有者有權知道其汽車安全性如何以及弱點所在。

記者：汽車安全系統有無其他選擇？

維爾杜特：自2007年起就有其他的安全保護系統可以選擇，這些安全系統擁有更加安全的程序保護（如AES)。但是讓我們意外的是，價格昂貴的汽車竟然也使用一些不安全的芯片來保護汽車。

我們在2012年11月就通知了芯片制造商，他們和汽車制造商的電子技術防盜系統制造商合作，增加汽車安全系統的安全性和減少問題的發生。但是這一問題的最好解決方案是使用更加安全的加密算法。  （據新華社）