伯明翰大学的科学家在与大众汽车为期两年的官司斗争后,终于获准公开发表研究报告。
伯明翰大学的一名科学家在赢得了一场为期两年的官司后,成功发表了他的研究报告。报告内容揭示了一个重大的安全漏洞,它可导致大量的车型存在被盗窃的可能。
大众汽车曾让其律师不断地将伯明翰大学计算机科学家Flavio Garcia和他荷兰内梅亨大学的同事Baris Ege和Roel Verdult的研究结果维持保密状态。
他们发现由26个汽车制造商生产的超过100款车型均存在被盗的可能。黑客们可以破解代码,伪造一把车钥匙——这还要归功于旨在防止汽车被盗的设备存在的漏洞。
存在风险的汽车品牌有奥迪、本田、斯柯达、雪铁龙、菲亚特和沃尔沃,以及由保时捷和法拉利生产的顶级跑车。
在一场为期两年的法律纠纷中,大众汽车曾起诉两个大学与其相应的研究人员。在研究人员同意省略他们报告中的一行(一个关键的细节可能导致非技术人员做出黑客行为)后,大众汽车同意研究结果的公布。
在过去,一个小偷能用短路法来启动汽车。但现在,钥匙和汽车点火开关内部的电脑芯片使得偷车更为困难。
一辆汽车只有在当芯片互相靠近并发出正确的代码时才会启动。然而,研究员声称缺陷存在于一个被称作Megamos加密应答器的芯片中,它被广泛地应用于汽车制造行业。
这个应答器通过无线的方式来鉴别钥匙发出的信号,如果它不能发现正确的代码,就不会启动引擎。
从理论上讲可能存在几十亿种代码组合,这使得它几乎不可能被碰巧验证通过。
但黑客发现只需要监听到汽车和应答器之间的无线通信两次,即可将可能正确的代码组合数量缩小到20万。
然后,一个自动化的破解程序就可以逐个尝试20万个可能的代码组合,这可以在半小时内就找到正确的代码。
一旦正确的代码被发现,这对于黑客来说将会像孩子们玩游戏一样地伪造一把能被汽车检验通过的钥匙。
人们担心黑客可能会摇身一变成为汽车代驾,甚至能偷走一个车队,更或者偷走租用完缴回的租赁车辆。
Garcia说:“这有点像是你的密码就是‘密码’。”
“我们想强调的是,汽车工业从较弱的专用密码转换到社区审查级别的密码,并根据准则正确的使用它是非常重要的。”
Garcia和他的同事八月在华盛顿某个著名会议上提及了他们的研究成果。
他们说,他们允许瑞士EM微电子公司(生产Megamos加密应答器的公司)在九个月的时间内来修复这个问题。并且,他们计划在2012年底前公开发表他们的研究报告。
这家公司拒绝置评。
大众汽车的发言人表示,黑客发起一个“具有规模的,复杂的工作是不太可能的——除非他们的技术非常娴熟,并且是有组织的犯罪。”
他们补充说:“我们将致力于保护我们的产品和客户的安全。”
“在未经授权就获取汽车权限这方面,大众汽车不会提供任何有用的信息。”
“在车辆安全的方方面面,作为一个机械或电子产品,大众汽车将竭尽全力以确保产品在遭受外界恶意攻击时的安全性和完整性。”