126款汽車存在被盜風(fēng)險，有缺陷的就是其智能鑰匙。

美國有線電視新聞網(wǎng)近日消息，信息安全研究人員披露，這些汽車的鑰匙芯片使用了過時的加密技術(shù)，假設(shè)有人監(jiān)聽芯片的通訊過程（只需兩次），就可以輕易地通過計算機(jī)識別其中的模式，復(fù)制鑰匙和芯片。這一缺陷早在2012年就已發(fā)現(xiàn)。不過，大眾汽車公司通過將3名研究者告上法庭，使得這一問題塵封兩年多。

研究報告公布了存在這一技術(shù)缺陷的車輛，包括大眾、奧迪、菲亞特、本田、起亞、沃爾沃等多個車企的多款車型。英國《每日郵報》指出，還有很多豪華車型，如保時捷、瑪莎拉蒂、法拉利等存在這種情況。

荷蘭內(nèi)梅亨大學(xué)的洛爾·維爾杜特為3名研究者之一。他在接受記者采訪時稱，這一漏洞有點像你設(shè)置的密碼就是“密碼”兩字。

汽車智能鑰匙

隱患不小    車鑰匙加密技術(shù)過時

過去，竊賊使用電線手動開啟一輛汽車，如今汽車鑰匙中配有相關(guān)的計算機(jī)芯片，其在工作時向汽車發(fā)送正確代碼，汽車才能夠發(fā)動。這從某種程度上阻止了單純復(fù)制鑰匙便可開啟汽車的竊賊。

然而，本以為是萬無一失的安全保護(hù)措施，卻被科學(xué)家們發(fā)現(xiàn)了芯片中存在嚴(yán)重的漏洞。根據(jù)研究，汽車鑰匙的芯片使用了過時的加密技術(shù)，通過監(jiān)聽其通訊過程（只需兩次），就可以輕易地通過計算機(jī)識別其中的模式，復(fù)制鑰匙和芯片。

研究人員測試發(fā)現(xiàn)，用不了半小時便發(fā)動了汽車。警方也表示，一個有技術(shù)頭腦的罪犯只需60秒即可將汽車盜走，在倫敦被盜的車輛中，通過門鎖偷車的比例占到42%。一名黑客能夠偽裝成代駕盜取大量汽車，或是將租賃的汽車返還后再次將車輛盜走。

涉及品牌    大眾、本田、保時捷上“風(fēng)險榜”

3名歐洲計算機(jī)安全科學(xué)家2012年就發(fā)現(xiàn)了這一缺陷，他們同時警告汽車制造商問題所在。

英國《每日郵報》報道指出，受影響車輛包括大眾、本田、起亞、沃爾沃等汽車品牌的多個車型，其中不乏豪華車型，如保時捷、瑪莎拉蒂等。研究者對于一些豪華汽車也使用這樣的過時加密技術(shù)感到吃驚，并表示消費者往往希望在價格昂貴的汽車上有其他更好的選擇。

報道稱，上述車型都依賴瑞士EM Microelectronic芯片。在漏洞發(fā)現(xiàn)后，研究人員立即通知了汽車廠商，并給其9個月的時間去修復(fù)，解決之后便把芯片的漏洞公之于眾。

然而，2013年，大眾汽車將研究者所在的大學(xué)以及3名研究者告上法庭。根據(jù)法院文件顯示，大眾阻止研究者將其研究向同行學(xué)者公開。法院方面最初出于汽車用戶安全考慮對大眾表示支持。

直到日前，研究者同意隱去報告中的一些關(guān)鍵信息，雙方才達(dá)成和解。

公司回應(yīng)    大眾：愿意更新軟件

昨天上午，大眾汽車集團(tuán)（中國）公關(guān)傳播部的劉香向記者發(fā)送了大眾汽車針對此事的官方聲明。聲明稱，內(nèi)梅亨大學(xué)和伯明翰大學(xué)的研究人員及其他科學(xué)家對防盜監(jiān)控系統(tǒng)的弱點等安全技術(shù)進(jìn)行分析研究相關(guān)研究成果顯示，就一些老款車型（配備的是相關(guān)報道中所提及的防盜監(jiān)控系統(tǒng)）而言，竊賊至少需要一套配套的車鑰匙及2次以上成功啟動的記錄才可獲得相關(guān)破譯信息?；谏鲜鍪聦?，被提及車型的防盜性能總體上是安全的。研究同時表明，大眾汽車現(xiàn)有產(chǎn)品的防盜監(jiān)控系統(tǒng)的安全等級更優(yōu)。

劉香表示，大眾汽車一直致力將最尖端的技術(shù)成果應(yīng)用到車輛電子和機(jī)械安全系統(tǒng)中，確保其始終處于最先進(jìn)的狀態(tài)。并在其產(chǎn)品中應(yīng)用最先進(jìn)的安全技術(shù)不斷研發(fā)改進(jìn)，如有必要，會為客戶的車輛進(jìn)行軟件更新。通常來說，已經(jīng)量產(chǎn)的車輛無法進(jìn)行硬件更換。

此外，沃爾沃公司強(qiáng)調(diào)這一事件影響的是沃爾沃生產(chǎn)的舊車型，Megamos Crypto防護(hù)系統(tǒng)并未在沃爾沃目前生產(chǎn)的汽車上使用。報告中涉及的菲亞特、起亞等企業(yè)至今未對這一問題作出任何評論。

對話研究者

問題已存在17年 

“讓事實成秘密我們非常吃驚”

記者：為何進(jìn)行這樣的研究？

維爾杜特：汽車的加密技術(shù)簡單來看，就是一個鎖和一把有秘密代碼的鑰匙。從表面看，我們發(fā)現(xiàn)鑰匙有96個刻痕，但是車鎖只能夠支持它們中的56個，這意味著這把鎖是非常脆弱的。而且，我們發(fā)現(xiàn)很多汽車使用的是更加脆弱的密碼，有時候使用的密碼，就好比是用“密碼”兩字當(dāng)做真正的密碼！

因此，攻擊者只需很短的時間（大約數(shù)分鐘），就能侵入汽車的鑰匙系統(tǒng)，竊聽它們之間的通訊內(nèi)容。攻擊者通過竊聽獲得大量的數(shù)據(jù)，能夠在數(shù)天內(nèi)計算出密碼代碼，并能夠返回其要攻擊的目標(biāo)車輛，使用復(fù)制的電子鑰匙開啟汽車。

記者：這一缺陷存在很久了？

維爾杜特：汽車安全系統(tǒng)應(yīng)該被設(shè)計得更加完善。我們發(fā)現(xiàn)的問題屬于設(shè)計問題，而且自1998年起就存在。如果關(guān)于設(shè)計方面的發(fā)現(xiàn)能夠被公開討論，像這樣不安全的系統(tǒng)就不可能被安裝在汽車上。

記者：如何看待大眾要求不公開研究中的關(guān)鍵信息？

維爾杜特：對于大眾能夠勸服法官下達(dá)禁令，讓這些事實成為秘密，我們感到非常吃驚。其實，對于英國法院發(fā)出的禁令，荷蘭內(nèi)梅亨大學(xué)和英國伯明翰大學(xué)立即發(fā)起挑戰(zhàn)，首先研究者使用的關(guān)于芯片的數(shù)據(jù)是完全合法的，其次，在建議公開研究成果前的9個月，制造商已經(jīng)被通知該問題。

此外，這一研究是關(guān)于汽車所用芯片安全水平的科研分析，而非黑客行為。內(nèi)梅亨大學(xué)作為抗辯者，相信汽車持有者有權(quán)知道其汽車安全性如何以及弱點所在。

記者：汽車安全系統(tǒng)有無其他選擇？

維爾杜特：自2007年起就有其他的安全保護(hù)系統(tǒng)可以選擇，這些安全系統(tǒng)擁有更加安全的程序保護(hù)（如AES)。但是讓我們意外的是，價格昂貴的汽車竟然也使用一些不安全的芯片來保護(hù)汽車。

我們在2012年11月就通知了芯片制造商，他們和汽車制造商的電子技術(shù)防盜系統(tǒng)制造商合作，增加汽車安全系統(tǒng)的安全性和減少問題的發(fā)生。但是這一問題的最好解決方案是使用更加安全的加密算法。  （據(jù)新華社）