浅谈数字车钥匙的潜在安全风险
现在,你可以在没有钥匙扣的情况下远程解锁你的汽车,前提是你有一部智能手机和一辆兼容的汽车。苹果在2020年更新了其钱包生态系统,其允许用户将他们的数字汽车钥匙添加到里面。
这意味着用户可以通过自己的iPhone或Apple Watch远程访问自己的汽车并将其访问权授予自己的配偶、保姆或客人。Google同样也让Android用户有可能使用Pixel 6系列的手机或任何运行Android 12的设备来解锁和启动他们的汽车。
数字汽车钥匙非常方便,尤其是因为只需要在智能手机上进行面部识别或输入密码就可以锁定、解锁或启动汽车。然而尽管数字汽车钥匙易于使用,但它可能会打开一个会让情况失控的潘多拉盒子。
数字车钥匙更安全,但有潜在的安全缺陷
根据Tracker的数据,2020年它找回的车辆中至少有93%是通过中继攻击被盗的。这通常发生在偷车贼使用黑客设备拦截钥匙扣的RFID信号以进入车辆。然而汽车连接联盟(Car Connectivity Consortium)的最新数字汽车钥匙规格使用了超宽带(UWB)技术,这使得其对中继攻击具有免疫力。跟RFID信号不同的是,UWB技术在计算智能手机数字汽车钥匙的接近度方面更加精确。
尽管有安全方面的好处,但并非所有跟数字车钥匙兼容的汽车都部署了UWB技术。一些汽车制造商如特斯拉、现代和林肯使用的是依靠蓝牙低能量(BLE)或近场通信(NFC)系统的数字汽车钥匙。这当中有什么区别呢?跟UWB技术相比,使用BLE技术的数字汽车钥匙可以在更远的范围内跟自己的汽车进行通信。而另一方面,如果使用一部采用了NFC技术的智能手机,那么使用者需要把它放在离车门几厘米远的地方才能解锁。另外,NFC技术使数字车钥匙在电池耗尽的情况下也能使用。
由于采用BLE的数字车钥匙比UWB技术的传输距离更远,所以它们更容易受到安全漏洞的影响。但如果数字汽车钥匙同时支持UWB、BLE和NFC,那么这个潜在的安全缺陷就可以得到解决。问题是,大多数汽车可能还需要一段时间才能兼容UWB技术,因为跟BLE系统相比,它的安装成本更高。
数字车钥匙还没有被黑掉
尽管数字车钥匙有潜在的安全缺陷,但我们还没有遇到一个可靠的新闻来源宣称一辆汽车在其数字车钥匙被远程入侵后被盗。Pwn2Own是一项最受欢迎的网络安全竞赛之一,它向任何能通过代码执行入侵特斯拉Model 3的智能手机数字汽车钥匙的人提供10万美元的奖励。尽管有奖金,但在比赛期间没有人成功入侵特斯拉Model 3的数字车钥匙,不过因为网络浏览器的故障,该车的信息娱乐系统曾被入侵过。
在证明这一点之前,可以推断,最大的潜在安全风险是有人偷了智能手机,然后用它来访问汽车。如果发生这种情况,人们可以选择追踪丢失的智能手机或停用数字汽车钥匙。虽然数字汽车钥匙可能存在一些缺陷--至少是那些只使用NFC或BLE的数字汽车钥匙--但就目前而言,它们似乎是一种合理的安全方式来保护汽车。
关注公众号:拾黑(shiheibook)了解更多
友情链接:
关注数据与安全,洞悉企业级服务市场:https://www.ijiandao.com/
安全、绿色软件下载就上极速下载站:https://www.yaorank.com/