GÜNCELLENMİŞ 18:15 NXP'nin yorumu ile Perşembe.

Son 20 yılda üretilmiş bir Volkswagen veya Audi'niz veya geçmişte üretilmiş bir Ford, Chevy, Nissan veya Fiat'ınız varsa on yılda, arabanızı kilitlemek ve kilidini açmak için kablosuz anahtarlığınızı veya kontak anahtarı düğmelerinizi kullanmayı bırakmak isteyebilirsiniz. sonsuza dek.

2013 Volkswagen Golf Mark 7, anahtarsız giriş kusurundan etkilenmeyen birkaç son model Volkswagens'ten biri. Kredi: M93 / Creative Commons
(Resim kredisi: Anahtarsız giriş kusurundan etkilenmeyen birkaç son model Volkswagen'den biri olan 2013 Volkswagen Golf Mark 7. Kredi: M93 / Creative Commons)

Bu araçların çoğunda bulunan uzaktan kumandalı anahtarsız giriş (RKE) sistemleri, bir hırsızın siz bilmeden arabanıza girmesine izin verebilir. Araştırma kağıdı yarın sunulacak (Ağustos 12) Austin, Texas'taki USENIX bilgisayar güvenliği konferansında. Sorunun pratik bir çözümü yok, etkilenen tüm kontak anahtarlarını ve anahtarlıkları hatırlamak dışında.

Gazetenin yazarları, "Etkilenen araçların sahipleri, arabalarının kapılarının kilidinin açılmasının bugün genel olarak varsayıldığından çok daha kolay olduğunun farkında olmalıdır" diyor.

DAHA: Otonom Arabalar 'Dünya'da Cehennem Yaratabilir'

Araştırma ekibi İngiltere'deki Birmingham Üniversitesi'nden Flavio Garcia ve Bochum, Almanya'daki bilgi güvenliği firması Kasper & Oswald'dan Timo Kasper tarafından yönetildi. 1995'ten beri Volkswagen Grubu tarafından üretilen arabaların çoğunun veya tümünün yalnızca dört farklı usta kullandığını buldu. Kontak anahtarları ve yaklaşık 100'e verilen anahtarlıklar tarafından gönderilen kablosuz sinyallerin güvenliğini sağlamak için şifreleme kodları milyon araç.

Ana kodlar, kontak anahtarlarına ve anahtarlıklara sabit kodlanmıştı ve her biri, bir sonraki nesil kontak anahtarları ve anahtarlıklar gelene kadar yıllarca yeniden kullanıldı.

(Bu saldırı, basılması gereken uzaktan kilit açma düğmesi olmayan kontak anahtarlarını içermez. Pasif anahtarsız giriş ve çalıştırma sistemlerinin ateşleme bileşenini de içermez, bu da kontak anahtarını direksiyon kolonuna koymadan aracı çalıştırmanıza izin verir. Ancak bu sistemlerin kapı ve bagaj kilitleme özelliklerini içerir.)

Bir saldırgan, belirli bir model yılı için ana şifreleme kodunu biliyorsa, 1995'ten tüm modeller için dört ana koddan biri kullanılmıştır. 2003 - o zaman araç sahibinin bir anahtarlık veya kontak anahtarından araca gönderdiği tek bir komutu yakalamak için ucuz radyo yazılımı kullanabilirdi. Bir SUV'nin yatağındaki yüksek kazançlı antenler sinyali yüzlerce metre uzaktan yakalayabileceğinden, saldırganın yakında olması bile gerekmez.

Komut yakalandıktan ve kodu çözüldükten sonra, saldırgan, sahibi ayrıldıktan sonra arabayı kilitlemek veya kilidini açmak için biraz değiştirilmiş bir sürümünü oynatabilir.

Gazete, "Tüm arabaların sinyallerini bir otoparkta veya bir araba satıcısında gece boyunca oraya bir gizli dinleme cihazı yerleştirerek gizlice dinlemek teknik olarak mümkün." Dedi. "Daha sonra, tüm savunmasız arabalar düşman tarafından açılabilir."

Saldırı, 2013 yılında tanıtılan Volkswagen Golf Mark 7 dışında, araştırmacılar tarafından test edilen Volkswagen, Audi, Seat ve Skoda marka araçların tüm modellerinde çalıştı. Araştırmacılar, Volkswagen Grubu'nun Bentley, Bugatti, Lamborghini ve Porsche gibi lüks markalarını test etmedi.

"Hakkında çeşitli basında çıkan haberler var Kilitli araçlardan açıklanamayan hırsızlık son yıllarda "kağıt belirtiyor. "Bu makalede açıklanan güvenlik sorunları bu tür olayları açıklayabilir."

Benzer bir saldırı, NXP tarafından üretilen teknolojiyi kullanarak RKE anahtarlıklar ve kontak anahtarları kullanan arabalarda da çalışır, Alfa Romeos, Chevrolets, Fiats, Fords, Mitsubishis, Nissans, Opels, Peugeots ve Röntgenler. Model yılları, markaya bağlı olarak 2004 ile 2016 arasındaki aralığı etkiledi.

Volkswagen anahtarlarından farklı olarak, NXP anahtarlıklar ve kontak anahtarları bir ana kodu paylaşmazlar ve anahtarlardan birine girip içeriğini okuyarak elde edilecek hiçbir şey yoktur. Bununla birlikte, NXP cihazları tarafından kullanılan şifreleme yeterince zayıf olduğundan bir saldırgan, aynı ucuz dizüstü bilgisayara bağlı radyo ekipmanını kullanarak Volkswagen saldırısında, şifresini çözmek için NXP anahtarlık veya kontak anahtarı tarafından verilen yalnızca dört ila sekiz komutun yakalanması gerekir. sinyaller.

Bu belki de Volkswagen hack için gereken tek bir komutu yakalamak kadar kolay değil, ancak araştırmacılar saldırganın da kullanabileceğini belirtti. Araç sahibinin tüm kablosuz komutlarının araca ulaşmadığından emin olmak için bir sinyal bozucu, sahibini tekrar tekrar kilit veya kilit açma düğmesine basmaya zorlar.

"Sigorta şirketleri... Şimdiye kadar sigorta dolandırıcılığı olarak kabul edilen belirli araba hırsızlığı senaryolarının (örneğin kişisel eşyaların çalınması) kabul edilmesi gerekir. Fiziksel izleri olmayan kilitli bir arabanın), bu makalenin sonuçları göz önüne alındığında, gerçek olma olasılığı daha yüksektir "dedi. araştırmacılar.

Bu saldırılar yalnızca etkilenen arabaların kapılarını, bagajlarını ve ambarlarını kilitleyip açabiliyor ve Kuzey Amerika'da bir araba alarmı çalabiliyor. Ancak Garcia, Volkswagen'in immobilizer'ı atlayan kablosuz saldırıları keşfeden önceki bir araştırma ekibinin parçasıydı. kontak anahtarına yerleştirilmiş bir çipten gelen bir radyo sinyali olmadan hiçbir arabanın başlamamasını sağlamayı amaçlayan sistem kendisi. Bu saldırıyı kullanarak, doğrulanmış kontak anahtarı olmadan bir araba çalıştırılabilir ve uzaklaştırılabilir.

Kontak anahtarını baypas etme araştırması 2013 yılında tamamlandı, ancak Volkswagen İngiltere'de mahkemeye gitti ve gazetenin sunumu iki yıl ertelendi. Öyleydi sonunda sundu geçen yılki USENIX konferansında.

En son bulgularla ilgili olarak, araştırma ekibinin tavsiyesi basitti - arabanızı kilitlemek ve kilidini açmak için mekanik anahtarlar kullanmaya geri dönün.

Gazete "Etkilenen araç sahipleri için, değerli eşyaların araçta bırakıldığı durumlarda geçici bir önlem olarak," diyor ki, "maalesef yalnızca araba anahtarının RKE kısmını kullanmayı bırakmanızı veya devre dışı bırakmanızı / kaldırmanızı ve mekanik kısma geri dönmenizi önerebiliriz kilit."

GÜNCELLEME: NXP bu hikayeye bir açıklama ile cevap verdi.

Araştırmada, "Uzaktan Anahtarsız Giriş sistemleri için kullanıldığında HT2 güvenlik algoritmasının sağlamlığını eleştiriyor" ifadesi yer alıyor. "HT2, 18 yıl önce (1998'de) tanıtılan eski bir güvenlik algoritmasıdır. 2006'dan itibaren kademeli olarak daha gelişmiş algoritmalarla değiştirildi. Müşterilerimiz, NXP'nin yıllardır yeni projeler ve tasarımlarda HT2'yi kullanmamayı tavsiye ettiğinin farkında. "

"2006 yılından bu yana, NXP'nin ürün portföyü, 128 bitlik bir anahtara dayalı şifreleme ile AES128 ile Gelişmiş Şifreleme Standardına dayalı yeni bir ürün ailesine sahip. Ayrıca, 2009 yılından itibaren NXP, Hitag ailesine HT2'ye ek olarak HT3 güvenlik algoritmasını da eklemiştir. NXP Immobilizer ve HT3 veya AES128 tabanlı Uzaktan Anahtarsız Giriş çözümleri bu arada HT2'nin kullanımdan kaldırılmasına izin verdi piyasadaki sistemler, ancak NXP eski sistemlerin HT2 güvenliğini ne ölçüde kullandığına karar veremez algoritması. "

  • Tesla Kendi Kendine Sürüş Ölümünün Değişiklikleri Teşvik Etmesi Gerekiyor
  • Connected Cars: Yeni Araç Teknolojisine Yönelik Bir Kılavuz
  • Dumb Cars için En İyi Akıllı Sürüş Uygulamaları