波及1亿辆汽车 锁了也没用!大众免钥系统被曝严重漏洞 (一亿辆车有多长)
英国伯明翰大学的一波研究人员与大众汽车集团“杠上”了。三年前,他们发现了大众汽车启动点火装置的一个漏洞,被大众起诉,被迫推迟研究成果发表。结果,这一团队“越挫越勇”,本周再次披露了大众汽车免钥入车系统的重大漏洞,波及全球1亿辆汽车,令人咂舌。
2013年,英国伯明翰大学(University of Birmingham)的计算机科学家Flavio Garcia和他的同事一起发现了德国大众汽车的启动点火装置的一个重大漏洞:通过该漏洞,数百万的大众汽车可以被远程启动,在不需要车钥匙启动的情况下,就可以开出去。但是当时研究团队遭遇了来自大众的诉讼,研究成果和漏洞披露的发表被迫推迟了2年,最终于2015年公布。
但这一经历并没有挫减Garcia团队的锐气,相反,他们更加深入地展开对大众汽车缺陷的研究。现在,他们又抓住了大众汽车另一个弱点:不仅是点火装置存在缺陷,其免钥入车系统也存在重大漏洞。而且,这一漏洞涉及范围之广令人瞠舌:从1995年以来的出售的所有大众汽车,也就是说,全球约1亿台大众汽车的用户都受到威胁。
Flavio Garcia,图片来自其个人官方主页
近日,在美国德州奥斯汀举行的Usenix安全大会上,Garcia带领另外3名英国伯明翰大学的研究人员,发表了针对这一漏洞的论文,名为《锁了也白锁--关于汽车遥控免钥入车系统安全的研究》(Lock It and Still Lose It – On the (In)Security of Automotive Remote Keyless Entry Systems),给予大众一记重拳。感兴趣的朋友 可点击此处 查看论文原文。
论文中描述了两种免钥入车系统的漏洞,第一种是针对大众汽车品牌,波及到20年来大众售出的每一辆汽车,包括奥迪、斯柯达等。第二种是一个名为“Hitag2”的密码系统,涉及到多种汽车品牌,包括阿尔法·罗密欧(Alfa Romeo)、雪铁龙、菲亚特、福特、三菱、日产、欧宝和标致等。
针对两种漏洞发出的攻击原理都很简明:使用一个无线装置来截取车主钥匙的信号,然后“克隆”出一把一模一样的钥匙即可。
同时两种攻击都不需要用到昂贵的设备,只需把电脑和无线截取信号的装置连接;或是使用更小巧的“Arduino主板+无线电接收器”的工具包,这只要40美元就能买到。
价值40美元的Arduino无限接受装置
加西亚说:“硬件成本很低,设计简单,它的功能和原装遥控几乎一样。”
两种攻击中,针对大众品牌汽车的漏洞更加棘手。因为正如伯明翰大学的David Oswald所言:“你只需要窃听一次信号,就能够克隆出车钥匙,并且能多次开车、锁车。”
大众汽车的免钥入车系统里包括两种“密钥值”,一种是几百万量车共享的,一种是每辆车独有的。
首先,研究人员对大众车内网络的一个组件进行了“繁琐的逆向工程”,提取了这个“共享密钥值”。然后,只需等待车主按下遥控钥匙的按钮,发出这辆车特有的密钥值,研究人员通过前面提到的装置拦截这个信号,从而获得“独有密钥值”。两相结合,就可以克隆出每一辆车的完整密钥。
要想保证“窃听”成功,无线窃听装置必须在距离车主90米范围内。并且,攻击者必须要有正确的“共享密钥值”。
在过去20年的时间里,大众卖出的1亿辆车中,最常用的只有4种密钥。但是也有“例外”,比如高尔夫7以及使用了特定密钥的车型,就能够免于攻击。
万幸的是,研究人员并未在公开的论文中透露“共享密钥”储存在车辆的哪个部件中,以防居心叵测的人拿去偷车。
另外对于Hitag2密码系统,这种攻击方法不需要提取我们前面提到的“共享密钥”,但同样以窃听的方式截取车主钥匙发出的8位编码。HiTag2加密方案存在的漏洞可以让研究人员在一分钟内攻破一辆车。
在发现漏洞后,这群研究人员给大众写了一封信,告知了漏洞的存在。关于这件事,大众方面并未给出任何回复。
芯片供应商恩智浦的发言人Joon Knapen说:“HiTag2是我们18年前使用的加密算法,已经很古老了。从2009年开始,我们就更换了更先进的加密算法。并且我们几年前就开始建议我们的客户,不要在新项目中再使用HT2加密算法。”
不过在论文最后,研究人员对广大车主提出了暂时的解决办法:如果车内有贵重物品的话,建议停止使用免钥入车系统或者干脆将这个系统移除,代之使用传统的机械锁。
原创文章,未经授权禁止转载。详情见 转载须知 。
酷我音乐-无损音质正版在线试听网站,酷我音乐为您提供高品质音乐,无损音乐下载,拥有各类音乐榜单,快捷的新歌速递,完善的主题电台,个性化的歌曲推荐,高品质音乐在线听,好音质,用酷我。陪着我,不要停
原创度检测简介:一款在搜索引擎分析文章原创度的在线检测工具。原创度的检测调整可提高文章收录率,一定程度上增加文章的曝光量和点击量。
本站是房山区综合性信息门户网站,提供房山、长阳CSD、良乡、燕山地区新闻资讯、房山二手房、房产信息、人才招聘、房山线、房山地铁、房山公交、长阳CSD社区网信息、企业黄页、家教培训、商城、饮食、娱乐、消费、打折促销、旅游、交友等信息服务。
华尔网可以免费帮企业开通一个二级域名网站,免费发布500条产品信息,想要获取海量生意商机,产品推广就上华尔网.
爱税宝建筑产业园是上海拓迈财务管理咨询有限公司旗下的知识分享平台,帮助企业、包工头快速申请建筑资质,所得税税负低,可以核定征收征收的园区,办理建筑劳务,就在爱税宝!
上海碧丽净饮设备|杰开凉白开净水机
罗马科技金融助力中小微企业发展。罗马车商贷为二手车经销商提供的专业信用贷款平台,利息低至1.6%,授信最高100万。同时提供场景金融、企业经营贷款、供应链金融、消费金融、融资租赁等科技金融解决方案。
牵翼检验检测平台由上海牵翼网络科技有限公司自主建设和开发,为第三方检测机构、各级各类实验室提供服务展示平台,并为企业用户提供信息查询和需求征集匹配服务,功能包括:检验检测、仪器共享、实验室专区、标准查询、行业资讯、需求大厅、在线咨询等功能,旨在为机构和企业用户之间精确匹配需求,建立交易机会,推动线下交易。
郴州市金通电器有限责任公司是一家专业生产汽车电子电器的厂商,主要产品有:电压调节器,电子式继电器,数字式电压表等。公司位于郴州,为顾客更好的体验和更多的价值,联系电话:139-7550-9740
扬州市远景照明有限公司地处中国东部沿海省份江苏省扬州市,是中国国内传统道路照明、新型太阳能系统照明、大功率LED集成照明制造行业中具备自主研发,自主创新和自主优化能力的科技型企业。
一加手机氢OS/H2OS基于最新Android定制,秉承超前的MaterialDesign风格,并加入一加对系统独有的思考,最终成就专属一加手机的氢OS/H2OS(优雅、宁静的界面与图表,灵动、默契的交互与动效,得心应手的AndroidRom一切从氢开始)。
Re博客资源网你想要的这里都有
今天就来聊聊关于流量的话题,流量的概念是指在一定时间内打开网站地址的人气访问量,也可以理解为客户的数量,当然这里不一定是网站,可以指某一个平台里面的用户量,例如百度全家桶下的百度贴吧里面的吧友、微信好友或抖音里面的抖友等等,说到流量,让我们先来回顾一下过去的互联网时代一些大战,通过互联网大战让我们彻底地明白流量的重要性,首先,上场的是...。
孩子学习问题一直受到很多家长的关注,很多教育机构也在不断的完善自己的教学课程以及教学方法,特别是阅读类的数据受到很多教育机构的注重,能够把更多有价值的书籍带到店内,满足孩子阅读需求,培养兴趣,寰球阅读成长中心就能让大家好评不断,寰球阅读成长中心的书籍多吗,如何更新,寰球阅读成长中心是一家很受欢迎,以儿童阅读成长中心为教育理念的教学机构...。
从多处信源获悉,极氪汽车智能化团队发生变动,负责智能座舱的副总裁张松将离职,目前张松还在组织架构中,而接管张松团队的人或为入职3个月的座舱部门COO姜军,至于张松为什么会离开极氪,一位内部员工向透露,,任职不到两年,张松的离开或许是因为去年立下的军令状没实现,军令状就是让极氪001ZEEKROS完成4.0版本升级且市场反馈...。
雷锋网按,2020年8月7日,8月9日,2020第五届全球人工智能与机器人峰会,CCF,GAIR2020,于深圳正式召开,峰会由中国计算机学会,CCF,主办,雷锋网、香港中文大学,深圳,联合承办,鹏城实验室、深圳市人工智能与机器人研究院协办,得到了深圳市政府的大力指导,旨在打造国内人工智能领域极具实力的跨界交流合作平台,是国内人工智能...。
发表在专业问答2020,10,1617,57坚果J10亮度更高,2400ANSI流明,坚果J9是2000ANSI流明;,坚果J10支持自动六向梯形校正和实时对焦,坚果J9不支持;,坚果J10和J9都是1080P高清分辨率,坚果J10和J9对比1.坚果J10亮度更高,2400ANSI流明,坚果J9是2000ANSI流明;2.坚果J1...。
发表在综合交流大区2024,10,1116,432024英雄联盟S14大赛已经拉开序幕,今年的总决赛将再次汇聚全球最顶尖的职业战队,为大家带来一场场精彩绝伦的电竞盛宴,为了让大家不错过任何一场比赛,下面就分享2024英雄联盟S14总决赛怎么大屏看的详细操作方法,同时附带2024英雄联盟S14赛程表,一、2024英雄联盟S14总决赛怎么...。
文字链接认证代码普通联盟标志认证代码企业广告联盟标志认证代码广告联盟评测代码说明,本页面的认证代码为二昆DSP广告平台专用评测代码,站长需懂简单html知识,直接复制代码粘贴到联盟网站相应页面即可使用,本代码不适用于其他广告联盟网站请勿获取!文字认证,文字链接代码认证适用所有类型的广告联盟,复制代码后放在二昆DSP广告平台网站首页底部...。
道奇酷搏车子质量牢靠,是一款性价比拟高的车型,道奇酷搏作为道奇品牌的一款车型,在市场上享有必定的出名度和口碑,它的质量体现可以从多个方面来评价,首先,从资料经常使用上看,道奇酷搏在制作环节中驳回了高质量的资料和先进的工艺,确保了车身结构的坚挺和耐用,其次,从安保性能来看,道奇酷搏装备了多项主动和主动安保技术,如防抱死刹车系统、车身稳固...。
ROGArmoury是一款功能强大的华硕ROG鼠标驱动,能够帮助用户快速地使用电脑配置自己的鼠标,让鼠标的使用更加得心应手。软件能够对鼠标的灯光、灵敏度、鼠标宏等进行配置,还能够一键导入、导出配置,提升用户的使用体验。
2022最新版来客客服系统多商户客服系统,全开源一键安装
中国式现代化是强国建设民族复兴的康庄大道一个国家选择什么样的现代化道路是由其历史传统社会制度发展条件外部环境等诸多因素决定的国情不同现代化途径也会不同实践证明一个国家走向现代化既要遵循现代化一般规律更要符合本国实际具有本国特色中国式现代化既有各国现代化的共同特征更有基于自己国情的鲜明特色党的二十大报告明确概括了中国式现...
10月19,22日,,2021杭州·云栖大会,在杭州云栖小镇正式举行,作为2021年爆火赛道,自动驾驶、智能汽车相关话题成为了大会关注的重点之一,在10月19日下午举行的,自动驾驶产业峰会,上,毫末智行董事长张凯受邀出席,并以,携手合作伙伴,加速自动驾驶创新之路,为主题,分享了其对自动驾驶行业趋势的判断、毫末智行的商业模式及产品落地进...。
抖音访客时间并不是特别准确,仅可以作为参考,抖音访客时间会展示同样开启这个功能的人,按照访问时间倒序,从上到下排列,如果闭访客记录功能,在访问别人的主页时就不会留下记录,此外,访客记录仅展示30天内容的记录,超过30天的浏览记录会被清除,...。
准备工作,、u盘、电脑一、百度搜索,当贝市场,,进入官网下载最新版本apk文件,或点击直接下载,http,dlap1.dbkan.com,update,dangbeimarket.apk,,并拷贝进u盘,附,当贝市场官网,http,www.dangbei.com,插入U盘,选择安装软件,然后系统自动安装mipt,apks文件夹...。
现在人们的生活条件好了,鸡鱼肉蛋类的食物已经成为了家常便饭,走进了家家户户中,冷鲜肉店面已经成为了人们购物的主要场合中,冷鲜肉店的品牌有很多,像大家都熟悉的有金锣冷鲜肉,该品牌的实力雄厚,还拥有先进的技术设备,还能够为创业者带来上等新鲜的肉类,一些创业者就想要加入其中,以获得创业的财富,究竟金锣冷鲜肉怎样加盟,金锣冷鲜肉的公司总部是在...。
2023年前三季度,风电上市公司业绩报告出炉,56家主要企业的营收总和为7014.54亿元,净利润共计651.02亿元,整体而言,行业呈增长态势,但也有部分企业面临盈利挑战,出现净利润亏损,以下是对风电产业链各环节上市公司业绩的七大排行榜解读,1.营收榜,中国中车、特变电工、阳光电源分别占据前三名,其中中国中车以1430亿元的营收遥遥...。
