0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

树莓派暴露了特斯拉 Model X 的安全漏洞

刘勇 来源:阿兵888824 作者:阿兵888824 2022-07-27 18:10 次阅读

我从来都不喜欢汽车中的无钥匙进入系统,尤其是因为它们似乎很容易被“绕过”,正如最近被黑客入侵的特斯拉所示。比利时鲁汶大学 imec 安全研究小组 COSIC 的研究人员成功破解特斯拉 Model X 的无钥匙进入系统的消息让我更加想知道为什么一开始就不能正确设计安全性.

COSIC(计算机安全和工业密码学)团队表示,他们在特斯拉 Model S 的无钥匙进入系统中发现了一个重大安全漏洞,并详细说明了如何绕过在最近的特斯拉 Model X 中实施的安全措施。他们展示了售价超过 10 万美元的电池供电的特斯拉 Model X 是如何在几分钟内被盗的。由于这次黑客攻击,特斯拉发布了一个无线软件更新来缓解这些问题。

特斯拉 Model X 钥匙扣允许车主通过接近车辆或按下按钮自动解锁汽车。为了促进与手机即钥匙解决方案的集成,允许智能手机应用程序解锁汽车,蓝牙低功耗 (BLE) 的使用在遥控钥匙中变得越来越普遍。Tesla Model X 钥匙扣也不例外,它使用 BLE 与车辆通信

博士之一。COSIC 研究小组的学生 Lennert Wouters 解释了这个场景:“使用从回收的特斯拉 Model X 获得的改进的电子控制单元 [ECU],我们能够无线(最远 5 米距离)强制遥控钥匙将自己宣传为可连接的 BLE 设备。通过对 Tesla Model X 密钥卡进行逆向工程,我们发现 BLE 接口允许远程更新在 BLE 芯片上运行的软件。由于这个更新机制没有得到适当的保护,我们能够无线破解密钥卡并完全控制它。随后,我们可以获得有效的解锁消息,以便稍后解锁汽车。

“有了解锁汽车的能力,我们就可以连接到服务技术人员通常使用的诊断界面,”他补充道。“由于配对协议的实施存在漏洞,我们可以将修改后的密钥卡与汽车配对,从而为我们提供永久访问权限和开车离开的能力。”

使用 Raspberry Pi 计算机暴露的两个弱点
COSIC 研究员 Benedikt Gierlichs 博士说:“总而言之,我们可以通过首先接近 5 米内的受害者密钥卡以唤醒密钥卡来窃取特斯拉 Model X 车辆。”“之后,我们可以将我们自己的软件发送到密钥卡,以便完全控制它。这个过程需要 1.5 分钟,但可以在 30 多米的范围内轻松执行。在破坏密钥卡后,我们可以获得允许解锁目标车辆的有效命令。接近车辆并解锁后,我们可以访问车辆内部的诊断连接器。通过连接到诊断连接器,我们可以将修改后的密钥卡与汽车配对。新配对的钥匙扣让我们可以启动汽车并开走。通过利用特斯拉 Model X 无钥匙进入系统的这两个弱点,

COSIC研究团队表示,“接近车辆并解锁后,我们可以访问车辆内部的诊断连接器。通过连接到诊断连接器,我们可以将修改后的密钥卡与汽车配对。”(来源:COSIC)

概念验证攻击是使用由廉价设备构建的自制设备实现的:带有 CAN 屏蔽的 Raspberry Pi 计算机(35 美元)(30 美元)、改装后的遥控钥匙和来自打捞车辆的 ECU(eBay 上 100 美元)和锂聚合物电池(30 美元)。

比利时研究人员于 2020 年 8 月 17 日首次向特斯拉通报了已发现的问题。特斯拉确认了这些漏洞,并为他们的发现提供了漏洞奖励,并开始着手进行安全更新。作为正在推出的 2020.48 无线软件更新的一部分,固件更新将被推送到密钥卡。

COSIC 研究小组隶属于鲁汶大学电气工程系,专注于保护数字信息。该集团开发先进的网络安全解决方案,以保护云和物联网中的数据,并保护用户的隐私。

它的工作创建了新的密码算法和协议,并在软件和硬件中开发了高效和安全的实现。COSIC 的研究人员还创建了安全的硬件构建块,例如真正的随机数生成器 (TRNG) 和唯一识别硬件的物理不可克隆函数 (PUF)。COSIC 有一个评估实验室来评估嵌入式设备的安全性,例如使用侧信道和故障攻击。

COSIC 的工作人员创建了全球 AES 加密标准。IntelAMD 的所有 x86 处理器芯片以及许多 Arm 芯片都添加了特殊的 AES 指令。这意味着 AES 可以保护数十亿台笔记本电脑、手机和电子设备。在其未来的工作中,COSIC 正在创建新的密码方案,以抵抗对未来量子计算机的攻击,以及对加密数据进行计算的有效方案。该团队的研究人员还开发了多方计算 (MPC) 解决方案,允许相互不信任的各方在不共享数据的情况下计算其数据集上的信息

COSIC 研究团队正在应用其知识为嵌入式系统创建安全机制,并构建提供“设计安全”和“设计隐私”的架构。这项工作为用户身份验证带来了隐私友好的技术,包括生物识别技术。正在研究的应用领域包括道路定价、植入式医疗设备、智能汽车、智能电网和智能城市。在隐私领域,该团队开发了用于匿名通信和检测隐蔽用户跟踪的解决方案。


审核编辑 黄昊宇

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 安全
    +关注

    关注

    1

    文章

    340

    浏览量

    35693
  • 特斯拉
    +关注

    关注

    66

    文章

    6311

    浏览量

    126548
  • 树莓派
    +关注

    关注

    116

    文章

    1706

    浏览量

    105610
  • 汽车
    +关注

    关注

    13

    文章

    3494

    浏览量

    37261
收藏 人收藏

    评论

    相关推荐

    对称加密技术有哪些常见的安全漏洞

    对称加密技术在实际应用中可能面临的安全漏洞主要包括: 实现不当: 错误的加解密实现、弱随机数生成器或其他逻辑错误都可能导致安全漏洞漏洞利用: 利用已知的弱点或攻击手段,如理论上可行的分组攻击或侧
    的头像 发表于 12-16 13:59 66次阅读

    物联网系统的安全漏洞分析

    随着物联网技术的快速发展,越来越多的设备被连接到互联网上,从智能家居、智能城市到工业自动化,物联网的应用范围不断扩大。然而,随着物联网设备的增多,安全问题也日益凸显。 一、物联网系统安全漏洞的成因
    的头像 发表于 10-29 13:37 356次阅读

    树莓gpio有什么用,树莓gpio接口及编程方法

    一、树莓GPIO的用途 树莓(Raspberry Pi)是一款小巧、功能强大的单板计算机,广泛应用于编程教育、物联网项目、家庭媒体中心等领域。GPIO(General Purpos
    的头像 发表于 10-22 18:09 791次阅读

    什么是树莓树莓是什么架构的

    什么是树莓 树莓(Raspberry Pi,简写为RPi,别名为RasPi/RPI)是由英国“Raspberry Pi 慈善基金会”开发的一款为学习计算机编程教育而设计的微型电脑。
    的头像 发表于 10-22 17:33 791次阅读

    如何使用 IOTA 分析安全漏洞的连接尝试

    在当今数字化世界中,网络安全变得至关重要。本文将探讨如何利用流量数据分析工具来发现和阻止安全漏洞和恶意连接。通过分析 IOTA 流量,您可以了解如何识别不当行为,并采取适当的措施来保护您的网络和数据。我们将深入研究IOTA的工作流程,以了解如何准确地分析连接尝试,并识别可
    的头像 发表于 09-29 10:19 264次阅读
    如何使用 IOTA 分析<b class='flag-5'>安全漏洞</b>的连接尝试

    树莓的功能用途是什么

    树莓(Raspberry Pi)是一款由英国树莓基金会研发的信用卡大小的单板计算机,自2012年推出以来,已经发展出多个型号和版本。树莓
    的头像 发表于 08-30 18:01 2561次阅读

    树莓x86还是arm

    树莓(Raspberry Pi)是一款由英国树莓基金会(Raspberry Pi Foundation)开发的微型计算机。它基于ARM架构,而非
    的头像 发表于 08-30 15:42 971次阅读

    树莓装ubuntu和raspbian哪个更好

    树莓(Raspberry Pi)是一款由英国树莓基金会开发的单板计算机,广泛应用于教育、科研、物联网等领域。树莓
    的头像 发表于 08-30 15:41 1277次阅读

    特斯拉取消Model X对Steam Gaming的支持,玩家无法访问Steam平台

    早在2022年,特斯拉就已为旗下Model S和Model X电动车引入Steam平台,提供数以千计的游戏选择。官方宣传片展示了用户如何在特斯拉
    的头像 发表于 05-18 13:58 1240次阅读

    NHTSA启动新调查 聚焦特斯拉Autopilot升级涉及的安全问题

    据该机构对特斯拉Autopilot系统近三年的调查发现,存在“关键安全漏洞”。尽管特斯拉已发布提升安全性的软件更新,但这些更新“未纳入召回程序,亦未明确解决可能导致不合理
    的头像 发表于 04-28 09:31 341次阅读

    PuTTY等工具曝严重安全漏洞:可还原私钥和伪造签名

    据报道,知名SSH和Telnet工具PuTTY于4月18日暴露安全漏洞CVE-2024-31497,涉及版本0.68至0.80。仅需使用60个签名,攻击者即可还原私钥。为应对此风险,官方更新推出0.81版本,呼吁使用者尽快升级。
    的头像 发表于 04-18 10:06 656次阅读

    iOS 17.4.1修复两安全漏洞,涉及多款iPhone和iPad

     据报道,iOS/iPadOS17.4.1主要解决了Google Project Zero团队成员Nick Galloway发现并报告的两大安全漏洞(CVE-2024-1580)。
    的头像 发表于 03-26 10:47 728次阅读

    佰维存储microSD卡通过树莓AVL认证

    树莓为英国树莓基金会开发的微型单板计算机,其以小尺寸、高性能、低成本和易开发等特点,广泛应用于物联网、工业自动化、智慧农业、人工智能、新能源等多个领域。
    的头像 发表于 01-23 17:19 423次阅读
    佰维存储microSD卡通过<b class='flag-5'>树莓</b><b class='flag-5'>派</b>AVL认证

    苹果承认GPU存在安全漏洞

    苹果公司近日确认,部分设备中的图形处理器存在名为“LeftoverLocals”的安全漏洞。这一漏洞可能影响由苹果、高通、AMD和Imagination制造的多种图形处理器。根据报告,iPhone 12和M2 MacBook Air等设备也受到了这一
    的头像 发表于 01-18 14:26 677次阅读

    树莓主板如何连接电脑

    连接树莓派到电脑是一个非常有用的功能,它可以让我们在电脑上进行树莓的操作和管理。本文将详细介绍如何连接树莓主板到电脑。我会从准备工作开始
    的头像 发表于 01-07 15:40 1941次阅读