今天小編分享的科技經驗:特斯拉UWB數字鑰匙,是怎麼一步步被黑的,歡迎閱讀。
本文來自微信公眾号:汽車開發圈,作者:Omar Yang,題圖來自:AI 生成
汽車進入系統正在迅速發展——從傳統鑰匙到先進的遙控無鑰匙進入(RKE)系統和智能鑰匙系統(也稱為被動無鑰匙進入(PKE)系統或被動進入被動啟動系統(PEPS))——既帶來了便利,也帶來了新的安全挑戰。随着汽車盜竊的技術更新,強大的安全解決方案變得至關重要。
超寬帶(UWB)技術正在成為汽車安全領網域的遊戲規則改變者。與藍牙和射頻識别(RFID)不同,UWB 提供精确的距離測量,使其具有很強的抵抗中繼攻擊的能力,中繼攻擊是汽車盜竊中常用的一種方法。
我們首先要介紹汽車進入系統的歷史,并探讨了值得注意的安全漏洞類型,例如重放攻擊、滾動攻擊和中繼攻擊,以及它們的有效緩解策略。作為讨論的一部分,我們讨論了最近的一份報告,該報告介紹了特斯拉的無鑰匙進入系統如何容易受到某些攻擊。我們揭示了解鎖過程的機制以及攻擊者如何利用它。在本系列的後半部分,我們将深入研究 UWB 技術、其應用及其潛在漏洞。
一、車輛進入系統簡史及其安全挑戰
車輛進入系統的發展以旨在提高便利性和安全性的重大進步為标志。最初,汽車使用簡單的機械鑰匙進行防護,這些鑰匙很容易被復制。20 世紀 80 年代末推出的遙控無鑰匙進入(RKE)系統标志着一次重大飛躍,允許駕駛員按下按鈕解鎖汽車。然而,随着技術的進步,汽車盜竊的技術也越來越高超。RKE 系統變得容易受到信号幹擾、重放和攔截攻擊。
下一個重大創新是智能鑰匙系統的開發,該系統允許無鑰匙進入和按鈕啟動功能。中繼攻擊是竊賊将信号從鑰匙傳導至汽車,這種攻擊成為盜竊車輛的常用方法,因為它不需要物理接觸鑰匙。豪華汽車盜竊案激增導致車主的保險費飙升,高端汽車特别容易受到此類攻擊,并且是此類攻擊的誘人目标。随着這些威脅的發展,對更安全地進入系統的需求變得顯而易見。這推動了超寬帶(UWB)技術的采用,該技術提供了更高的精度和安全性,可以有效對抗這些復雜的攻擊。
除了上面提到的無線技術外,RFID 還廣泛用于現代車輛,形式為實體卡或存儲在手機上的虛拟卡。RFID 系統僅在幾厘米内解鎖汽車,使其在直接與用戶互動的過程中更加安全。然而,RFID 也有其自身的弱點。它可以被相同頻率的更強無線電信号幹擾,在 RFID 标籤和讀取器之間的通信期間被攔截(" 嗅探 "),并用于創建具有與原始 RFID 标籤相同識别碼的重復 RFID 标籤。
二、針對車輛進入系統的信号攻擊類型
我們已經提到了幾種可能針對 RKE 系統的信号攻擊。在本節中,我們将概述它們的工作原理。
在幹擾攻擊中,黑客發送能量更高的無線電信号,這樣車輛就無法接收正确的信号。這是一種拒絕服務(DoS)攻擊。
幹擾攻擊
在重放攻擊中,黑客攔截車主發送的信号。他們能夠使用捕獲的固定代碼信号獲得對車輛的未經授權的訪問。
重放攻擊
滾動幹擾攻擊結合了信号攔截和幹擾。在這種情況下,黑客會同時攔截傳輸的信号并在汽車附近幹擾信号,以阻止其接收正确的信号。他們的目标是誘騙車主按下鑰匙扣兩次或多次。黑客可以通過這種做法來捕獲可用于未來攻擊的信号。這種技術針對具有滾動代碼功能的汽車。
滾動幹擾攻擊
在中繼攻擊中,黑客将一個無線電設備放置在汽車附近,另一個放置在真正的鑰匙附近。這些無線電設備本質上是延長信号,以誘騙汽車相信鑰匙就在附近,從而允許汽車解鎖和啟動。
這些攻擊已被證明可以有效繞過上一節讨論的車輛進入系統。下表總結了車輛進入系統的各種迭代以及可以對它們使用的不同攻擊方法。
三、對特斯拉 Model 3 的攻擊
UWB 是改變遊戲規則的因素,也是車輛進入系統發展的下一個重要步驟。這引發了一個問題:UWB 對當前無線電黑客的有效性如何?最近一份關于最新特斯拉 Model 3 使用 UWB 的報告有助于給出一個答案。
該報告引用了 GoGoByte 研究人員的研究結果,指出盡管特斯拉 Model 3 支持 UWB,但目前并未有效使用該技術進行可以防止中繼攻擊的距離檢查。這是因為特斯拉的無鑰匙進入系統仍主要使用藍牙來解鎖汽車和控制防盜器。因此,與早期型号一樣,中繼攻擊仍然可以通過藍牙成功破解。
特斯拉已承認存在此問題,并表示正在努力提高 UWB 的可靠性和安全性。在部署必要的增強功能之前,特斯拉汽車仍然容易受到中繼攻擊。盡管如此,值得注意的是,據報道,特斯拉汽車是美國被盜頻率最低的汽車,這要歸功于其默認的 GPS 跟蹤功能。
為了解決這個問題,建議特斯拉車主利用一項名為 "PIN-to-drive" 的功能,該功能可充當多因素身份驗證(MFA)的一種形式。此功能要求駕駛員在汽車啟動前輸入四位數的 PIN 碼,即使已使用鑰匙扣或智能手機解鎖汽車也是如此。PIN-to-drive 提供了第二層保護,确保即使竊賊使用中繼攻擊解鎖汽車,也無法在不知道 PIN 碼的情況下啟動汽車。在實施更強大的 UWB 安全措施之前,此功能可有效防範當前的安全漏洞。
該報告很好地介紹了 UWB 的當前實施情況,以及仍需如何改進才能充分發揮其優勢。我們下面将會仔細研究這項技術并分析其對車輛的安全影響。
超寬帶(UWB)技術近年來越來越受歡迎。它被譽為下一代無鑰匙技術,并承諾可以抵御困擾其前輩的攻擊。然而,UWB 并不新鮮。它的起源可以追溯到 19 世紀末,當時,Heinrich Hertz 通過火花隙發射器實驗生成了第一個 UWB 信号。UWB 技術在 20 世紀中後期取得了重大進展,特别是在雷達系統等軍事應用中。這段豐富的歷史為 UWB 的現代應用奠定了基礎,包括它對汽車安全的變革性影響。
我們下面将研究 UWB 與車輛進入系統的集成、它帶來的優勢、它可能帶來的漏洞以及如何緩解其安全問題。
四、什麼是 UWB 協定?
UWB 是一種無線通信技術,可在寬頻譜範圍内運行,頻率通常在 3.1 至 10.6 GHz 之間。與使用窄帶信号的傳統無線技術(如藍牙和 Wi-Fi)不同,UWB 可在寬頻率範圍内傳輸數據。這一獨特特性使 UWB 具有獨特的優勢,尤其是在精度和安全性方面。
UWB 通過在寬頻譜範圍内傳輸短脈衝無線電波來工作。這些脈衝以精确的時間間隔發送,使接收器能夠準确确定每個脈衝到達所需的時間。通過計算時間差,UWB 可以高精度地測量設備之間的距離。這使得 UWB 成為需要精确位置跟蹤和安全通信的應用的理想選擇。
我們在此總結了 UWB 的定義特征:
高精度:UWB 可以實現厘米級精度測距。這是通過飛行時間(ToF)測量實現的,其中信号從發射器傳播到接收器所需的時間用于計算距離。
低幹擾:由于其頻率範圍寬、功率譜密度低,UWB 受到其他無線技術的幹擾最小。這确保了即使在擁擠的環境中也能可靠地通信。
高數據速率:UWB 可以支持高數據傳輸速率,使其适用于需要快速和大量數據交換的應用場景。
由于其優勢,UWB 已在不同行業的各種應用中使用。為了更好地了解其用途,我們在此列出了可以找到 UWB 的幾個行業及其使用方式:
汽車行業:UWB 正在集成到車輛進入系統中,以增強安全性并防止中繼攻擊。其精确的距離測量可确保只有當授權的汽車鑰匙或手機鑰匙在特定範圍内時,汽車才會解鎖。其應用示例包括奧迪和寶馬等車輛中的高級鑰匙和基于智能手機的進入系統。
消費電子產品:智能手機和智能家居系統等設備使用 UWB 進行精确的位置跟蹤和安全的設備到設備通信。一個顯著的例子是蘋果的 AirTag,它使用 UWB 為丢失的物品提供精确的位置跟蹤,确保用戶能夠精确地找到他們的物品。
工業和醫療領網域:UWB 用于實時定位系統(RTLS),以高精度跟蹤資產和人員,并用于醫療成像和監控應用。
五、仔細看看 UWB
UWB 技術傳輸脈衝信号而不是正弦波,後者在其他無線協定(如藍牙和 Wi-Fi)中更常見。時網域中的脈衝持續時間短意味着頻網域中的功率譜占據寬頻帶。在 UWB 應用中,脈衝持續時間以納秒或數百皮秒為部門,并具有相應的頻率。例如,持續 2 納秒的脈衝的頻率帶寬約為 500 MHz。這意味着信号占據以其載波頻率為中心的廣泛頻率範圍,範圍約為 500 MHz。與其他常見的無線技術相比,UWB 使用的頻帶要寬得多。例如,Wi-Fi 通常使用 20 到 160 MHz,而藍牙僅使用 20 MHz。
傳統窄帶通信(例如 2G 移動電話)和傳統通信(例如 Wi-Fi 和 3G 移動電話)在較窄的頻帶上以較高的功率水平運行。UWB 無線通信涵蓋很寬的頻率範圍,但傳輸功率明顯較低。
各種無線通信技術的傳輸功率比較
六、不同的測距和定位方法
UWB 技術提供了幾種精确的測距和定位物體的方法:
ToF 測量信号從發射器與接收器之間的時間,并根據已知的信号速度直接計算距離。在這種情況下,信号是電磁的,以光速傳播。
到達時間差(TDoA)使用多個接收器來确定同一信号的到達時間差,從而實現三角測量和高精度定位。
到達相位差(PDoA)或到達角(AoA)使用具有多個天線的 UWB 設備接收同一信号,從而導致天線接收的信号之間存在相位差。該相位差用于計算發射器的相對位置和距離。
雙向測距(TWR)涉及設備之間的信号交換,測量往返時間以确定距離。每種方法都利用 UWB 的高時間分辨率來實現精确可靠的位置跟蹤,使 UWB 适用于需要高精度的應用。這種技術的一個變體是雙面(TWRDS-TWR),其中至少傳輸三條消息,而不是 TWR 僅傳輸兩條消息。這種方法的優點是錨點和标籤都可以各自計算它們之間的距離。
在下圖中,目标是使用不同的測距和定位方法确定标籤的位置。
對于 ToF,标籤将 UWB 幀作為有效載荷發送,即發送幀的時間(t1)。錨點在 t2 接收幀,并将 ToF 計算為 t2 − t1。
計算标籤位置的 ToF 方法
對于 TDoA 定位,标籤發送的信号到達每個錨點的時間不同,因為标籤和錨點之間的距離不同。通過測量信号到達錨點對的時間差,可以計算出雙曲線。通過找到至少三個這樣的雙曲線的交點來确定标籤的位置。
确定标籤位置的 TDoA 方法
在 PDoA 或 AoA 方法中,标籤發送信号,該信号由錨點上的多個天線接收。通過獲取不同天線上相同信号的相位差并了解天線之間的距離,可以準确計算标籤的位置。
計算标籤位置的 PDoA 或 AoA 方法
TWR 方法改進了 ToF 方法,消除了錨點和标籤之間同步的需要,僅依賴于來自一個設備的時間戳。錨點發送标籤在傳播時間或 ToF 之後收到的消息。然後,标籤在固定的回復時間(包含在數據包中)後做出響應。然後,錨點可以使用已知的回復時間根據往返時間(RTT)計算 ToF。
TWR 方法計算标籤位置
DS-TWR 方法與 TWR 方法類似,但錨點會回復标籤,讓标籤計算 RTT 并确定其與錨點的距離。
圖 6. DS-TWR 方法計算标籤位置
七、UWB 為何不會受到中繼攻擊的影響
正如之前所述,當鑰匙和汽車之間的信号通過由攻擊者控制的一對無線電設備創建的 " 隧道 " 進行擴展時,就會發生中繼攻擊。這是可能的,因為汽車與其鑰匙扣之間的通信通常不受時間影響。然而,由于 UWB 技術具有高時間分辨率和精确的 ToF 測量,因此在很大程度上不受中繼攻擊的影響。UWB 的精确度确保任何中繼信号的嘗試都會導致明顯的時間差異。配備 UWB 的汽車可以通過計算鑰匙鏈發射信号和汽車接收信号之間的時間差,輕松識别鑰匙的範圍。
為了說明 UWB 技術如何防止中繼攻擊,我們舉了一個例子。在這個場景中,我們假設當汽車與其鑰匙鏈之間的距離小于 1 米時,可以解鎖涉及的汽車。汽車停在距離試圖中繼鑰匙鏈信号的竊賊 5 米的地方。
1 米外解鎖時的 ToF:ToF 1 m = 1/3 x 108 = 3.33 ns
5 米外的 ToF:To F5 m = 5/3 x 108 = 16.67 ns
1 米内解鎖汽車的阈值約為 3.33 ns,而信号傳播 16.67 ns 到達汽車。UWB 系統可以輕松檢測到這種差異。因此,信号被拒絕,因為到達時間比阈值長約 5 倍,表明密鑰不在預期範圍内。
八、UWB 如何受到攻擊
如果 UWB 不受中繼攻擊的影響,那麼它是否不受其他形式的攻擊的影響?盡管 UWB 提供了這些功能,但 UWB 本身并不是萬無一失的。
GoGoByte 的研究人員演示了一種針對 UWB 的攻擊,名為 "UWB 精确的震耳欲聾(UWB accurate deafening)"。他們想看看是否可以通過記錄發起者和響應者的信号,然後在預期的時間範圍内發送惡意數據包引起消息衝突。
在他們的實驗中,研究人員成功破壞了 iPhone 和 AirTag 之間的測距功能。在攻擊發起者時,攻擊設備被放置在發起者附近以嗅探信号。通過在正确的時間發送虛假消息,發起者将無法正确解析來自預期響應者的消息。
圖 7. 對車輛進入系統的 UWB accurate deafening
如果在無鑰匙進入啟動(PKES)系統中強制使用 UWB,則此類攻擊可能導致車輛進入系統出現拒絕服務(DoS)。但是,如果在解鎖汽車時不需要實時測距,或者在沒有 UWB 的情況下執行 PKES,汽車盜竊仍然可能發生。
九、如何緩解針對 UWB 的攻擊
UWB accurate deafening 等攻擊之所以能夠成功實施,主要是因為可以輕松預測消息的時間。為了緩解這些攻擊,可以在接收信号和發送信号之間引入随機延遲。這樣,只有發起者和響應者才能期待彼此的真實消息,而攻擊者發送的消息将超出設計的時間範圍,因此會被忽略。如圖 8 中的圖表所示,如果響應時間對于攻擊者來說是不可預測的,那麼攻擊者發送消息的時間要麼比真實消息更早,要麼比真實消息更晚。
圖 8. 引入随機延遲以減輕對 UWB 協定的攻擊
我們回顧了使用 UWB 之前車輛進入系統的過去版本,每個版本都容易受到某種形式的攻擊。需要強調的是,安全性應成為在車輛中實施 UWB 的一個重要考慮因素,因為它本身并不是針對車輛盜竊和其他形式的進入系統攻擊的絕對防御手段。
本文來自微信公眾号:汽車開發圈,作者:Omar Yang
