看了標(biāo)題，你一定很好奇，世界上怎么有這么不怕死的男人對(duì)不對(duì)？

哦，沒關(guān)系，因?yàn)檫@兩個(gè)男人也是黑客。

但是，不要急著關(guān)，雷鋒網(wǎng)編輯真的不是標(biāo)題黨。

因?yàn)?，這個(gè)女黑客真的把自己的小汽車貢獻(xiàn)出來(lái)讓他的男同事做實(shí)驗(yàn)。

她絕對(duì)不是吃素的——在 2015 年就在黑客盛會(huì) DEFCON 上對(duì)無(wú)人機(jī) GPS 進(jìn)行了破解。也就是說(shuō)，這個(gè)酷酷的女黑客真的可以操作兩下，對(duì)著天空一指，就能“打下”一架無(wú)人機(jī)。

這個(gè)女黑客名叫黃琳，是 360 無(wú)線安全研究院中的一員，而演示如何不用鑰匙就能開走她的車車的是團(tuán)隊(duì)兩個(gè)小同事——年齡不詳?shù)粗苣贻p的王超然和出生于1997年的曾穎濤。

－－介紹完畢，“盜車”演示開始－－

車主黃琳出來(lái)逛街，把車停到一個(gè)咖啡店外，準(zhǔn)備到 50 米外的咖啡店買杯咖啡，突然，閃出了一個(gè)“別有用心”的曾穎濤和他的“同伙”王超然。

曾穎濤和王超然早就看上了黃琳的車，想盜走黃琳的車出去約會(huì)小姐姐（此處，請(qǐng)假定他們是沒有同事情誼的陌生人）。

然后，他們開始下手了……

曾穎濤和王超然兩人各手持一個(gè)上圖中的裝備，曾穎濤負(fù)責(zé)排在黃琳身后，與她保持兩米或小于兩米的距離。

攜帶著這個(gè)工具（不是撬鎖工具，不要想太多）的王超然來(lái)到車旁，趁黃琳正在咖啡館排隊(duì)，當(dāng)他手中工具指示燈亮起，隨即按下車門把手的感應(yīng)按鈕，順利打開車門，并且發(fā)動(dòng)了車子，并在一眾閃光燈面前表演了開車燈、前進(jìn)、倒車……

倘若他要是想偷偷開走黃琳的車，是輕而易舉的。

要是圖片看的不過(guò)癮，直接看視頻吧：

－－演示結(jié)束，原理大揭秘－－

1.到底原理是怎么樣的啊喂？我很好奇。

無(wú)鑰匙開車，一般采用的是 RFID 無(wú)線射頻技術(shù)和車輛身份編碼識(shí)別系統(tǒng)。近距離時(shí)，車主不需要掏出鑰匙按遙控器來(lái)打開汽車，只需要按下車門把手上面的按鈕，汽車就會(huì)自動(dòng)檢測(cè)鑰匙是否在旁邊并進(jìn)行匹配認(rèn)證，如果檢測(cè)成功，則允許打開車門。出于安全考慮，通常鑰匙感應(yīng)距離在一米左右。

在這個(gè)實(shí)驗(yàn)中，研究人員搭建了一個(gè)特殊“橋梁”，通過(guò)技術(shù)手段，將感應(yīng)距離擴(kuò)展到了上百米，鑰匙發(fā)出的無(wú)線電信號(hào)通過(guò)工具傳輸?shù)狡囯娔X，汽車電腦誤以為鑰匙就在旁邊，最終汽車信號(hào)和鑰匙被欺騙，允許無(wú)鑰匙開啟車門、開動(dòng)汽車。

在這個(gè)過(guò)程中，曾穎濤手中的工具短暫地采集了黃琳身上車鑰匙的信號(hào)，然后把因?yàn)榫嚯x遙遠(yuǎn)極弱的信號(hào)“放大”成正常信號(hào)傳遞給王超然手中的工具進(jìn)行接收和處理，然后這個(gè)偽裝成“車鑰匙”的工具和被蒙在鼓里的汽車開始了正常通訊……

在整個(gè)過(guò)程中，記住，兩個(gè)工具并不是“信號(hào)放大器”，而是兩個(gè)小騙子，將弱信號(hào)偽裝成了正常信號(hào)與汽車“談情說(shuō)愛”。

2.所有的車都能被這樣盜走嗎？

不 是

事實(shí)上，在演示過(guò)程中，剛開始看上去兩位盜車人沒有成功，楊卿說(shuō)，因?yàn)樵趫?chǎng)圍觀的人太多，有可能擋住了兩個(gè)盜車人手中的工具交流信號(hào)。

這意味著，如果有較多遮擋物，可能影響兩個(gè)工具交流信號(hào)，從而影響最后的實(shí)驗(yàn)效果。

但是，目前已經(jīng)有發(fā)現(xiàn)數(shù)個(gè)品牌車輛存在類似風(fēng)險(xiǎn)，他們都采用了某通信模塊設(shè)備公司的一種 RFID 技術(shù)通信協(xié)議解決方案，相同的風(fēng)險(xiǎn)可能會(huì)在使用此方案的多個(gè)品牌等幾十款車型存在。

3.車鑰匙用的是 RFID 的原理，你們也曾經(jīng)搞過(guò) RFID 的破解，是不是可以拷貝車鑰匙的 RFID ，也就是說(shuō)，“造出”一個(gè)車鑰匙，隨時(shí)開走別人的車？

楊卿：也有可能，汽車廠商對(duì)于自家車系統(tǒng)的安全性設(shè)計(jì)和預(yù)算投入之間有平衡，現(xiàn)在能拷貝車鑰匙的情況不是特別多。

我們經(jīng)常碰到拷貝車鑰匙的情況是是車商用自己的維修設(shè)備，在車主自己丟鑰匙的情況下進(jìn)行拷貝。

從外部拷貝車鑰匙的難度還是有的，現(xiàn)在一些高端車的車鑰匙系統(tǒng)的芯片和主要安全方案還是比較有保證的。

今天這種攻擊其實(shí)屬于取巧（編者注：其實(shí)就是腦洞開得特別大），沒有破解車鑰匙，但把車鑰匙的信號(hào)延長(zhǎng)，讓汽車以為車鑰匙就在車附近，就可以把車門打開。

4.剛才看著你們搞掉一輛車真的很輕松的樣子，事實(shí)上也這么輕松嗎？（其實(shí)是想問(wèn)到底有沒有技術(shù)含量吧……汗……）

楊卿：首先，這項(xiàng)破解議題被今年的 BlackHat 會(huì)議收錄，我們?cè)趲滋旌髮⒃诶咕S加斯做演示。BlackHat 每年議題的投遞和入選率之比低于20%，這項(xiàng)技術(shù)和全球技術(shù)比較之后脫穎而出。

其次，這項(xiàng)技術(shù)對(duì)安全行業(yè)研究人員能力要求比較高，對(duì)無(wú)線層的安全研究能力綜合性要求比較強(qiáng)，要有基礎(chǔ)的安全知識(shí)，對(duì)射頻模塊要有調(diào)試能力，要自己動(dòng)手做 PCB 的芯片設(shè)計(jì)、芯片選型，做出來(lái)后，要驗(yàn)證，是很多技術(shù)領(lǐng)域綜合的成果。

在雷鋒網(wǎng)看來(lái)，一句話總結(jié)——其實(shí)這是一項(xiàng)很厲害的技術(shù)，不要看我們搞得這么輕松。

在實(shí)際情況中，其實(shí)這個(gè)團(tuán)隊(duì)做了很多次試驗(yàn)，來(lái)解決可能因?yàn)閮蓚€(gè)工具處理信號(hào)與互相通訊造成的延時(shí)問(wèn)題。

一開始，延時(shí)5 納秒或幾納秒，汽車就能判斷這個(gè)信號(hào)不是我家真鑰匙，而是其他妖艷賤貨。

安全研究人員通過(guò)大量測(cè)試+驗(yàn)證，換了不少芯片后，最后才實(shí)現(xiàn)了這兩個(gè)工具能在有效時(shí)間周期內(nèi)，把真車鑰匙的信號(hào)傳給汽車，被汽車接納。

楊卿說(shuō)，每次買芯片都挺貴的，還要做，比如改板子，發(fā)到工廠那兒，工廠還要生產(chǎn)出來(lái)，按安全行業(yè)高工資的研究員的月薪來(lái)算，這個(gè)事兒要半年時(shí)間才能做出來(lái)，雖然整體工具成本才幾百元……

人家是很貴的！

5.現(xiàn)在這個(gè)漏洞補(bǔ)上了嗎？

楊卿：一般涉及硬件類的漏洞修復(fù)周期挺長(zhǎng)。先通過(guò)關(guān)注度高的安全會(huì)議做演示，演示發(fā)出時(shí)我們也和主流廠商說(shuō)，他們驗(yàn)證之后自己也會(huì)設(shè)計(jì)更安全的系統(tǒng)。

但是，汽車類生產(chǎn)從設(shè)計(jì)到把車做出來(lái)，跑過(guò)所有測(cè)試基本都要5年左右的時(shí)間，但驗(yàn)證模塊可以在一年或半年內(nèi)完成，但它需要修復(fù)成本，比如把車召回或者直接通過(guò)升級(jí)把系統(tǒng)換掉才能解決這個(gè)事情。

一般修復(fù)成本比較高，除非這個(gè)廠商是做的是車聯(lián)網(wǎng)汽車，設(shè)計(jì)系統(tǒng)之初建立了良好的升級(jí)體系，比如OTA，將來(lái)出現(xiàn)任何問(wèn)題，所有的預(yù)算都是軟件化的，一提漏洞，就能快速升級(jí)blabla……

到底有沒有？

其實(shí)，就是還沒有。

6.這么危險(xiǎn)？那么我怎么保護(hù)自己的車不被這種技術(shù)盜走？（說(shuō)得我好像有車一樣）

車主防范攻擊，可以把車鑰匙放在錫紙做的盒子里，采用信號(hào)屏蔽的方式，但這樣非常不便于日常使用，所以最根本的解決辦法是此類生產(chǎn)通信模塊的公司對(duì)通信協(xié)議進(jìn)行完善，360已通報(bào)相關(guān)廠商進(jìn)行技術(shù)升級(jí)，為廣大車主消除安全隱患。在下周的BlackHat上展示這項(xiàng)研究成果被展示后，完整解決方案也將同步公布。

廠商不要哭，乖，還有幾天。

最后，雷鋒網(wǎng)編輯鳴謝一直站得很有范的360無(wú)線安全研究院負(fù)責(zé)人楊卿的講解。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。