日前,沃尔沃、比亚迪、别克三种品牌部分车辆被曝防盗系统存在设计缺陷。24日下午,在发现该漏洞的18岁“白帽黑客”的配合下据记者对沃尔沃XC90、比亚迪F0以及别克君威三款轿车进行了实验,发现通过破译的信号和一个无线信号收发器,就能无限次开关车门、 后备厢的电子锁。
昨日上午,比亚迪厂商客服人员表示,公司已经对该漏洞进行了安全防护处理,并采取了银行级加密方式。沃尔沃和别克厂商工作人员表示,会将该情况进行上报。
据法制晚报
该漏洞在“补天”网站上被曝出,描述中称,通过对汽车遥控钥匙的无线遥控信号进行监听获取,并将获取的信号按照特定的机制发送,沃尔沃、比亚迪、别克君威门锁遥控滚码机制被绕过,上锁的车门锁可被无限次打开,危害用户财产安全。
“补天”漏洞响应平台负责人林伟介绍,使用该机制的车辆可能跨越时间较长,很多老的车辆厂商也已不再维护,需要将车辆召回并更换车辆的中控系统和电子钥匙才能解决此安全隐患。因此漏洞危害暂时被定为中高危漏洞。
据了解,该漏洞是由国内著名网络安全人才培养团队“神话行动”鬼斧实验室一名18岁的“白帽黑客”曾颖涛所发现。
技术人员告诉记者,汽车钥匙每次发送的无线信号都会携带加密过的同步值。钥匙和汽车对同步值进行保存,通过发送“特殊”的信号,汽车将无效的遥控信号判断为有效信号,执行例如开锁的遥控命令。
“目前来看黑客使用捕捉到二到三次车钥匙发出的信号后,就有可能控制汽车防盗系统,相当于配了一副电子钥匙。”曾颖涛介绍,如果技术纯熟,通过破译手段不到一分钟可打开车门。
实验中用的硬件设备花几十元钱就可在网上买到,不过电脑中的破译程序并非能轻易得到。
“神话行动”负责人王英键告诉记者,目前发现在沃尔沃XC90 2008款、比亚迪F0、别克君威等部分款型车辆中发现了这个漏洞,还在陆续对其他品牌和款型车辆进行测试。目前尚不清楚受到影响的车辆总数。
值得一提的是,车主只能将车辆开回原厂或者4S店进行防盗系统更换,才能解决漏洞问题。“这个漏洞最大的危害在于是属于硬件中的软件问题,无法通过软件升级来修改。”
昨日上午,记者分别致电了沃尔沃、比亚迪以及别克三个汽车厂商。比亚迪客服工作人员表示,公司目前已经对这类漏洞进行了处理,即对平台服务器进行安全防护,并采用银行级加密方式。即便客户的车辆数据被截取也不会被利用。涉及车辆不用召回处理。沃尔沃和别克厂商工作人员表示,目前还没有收到相关的信息。