近日,根據外媒報導,Mitsubishi、Subaru、Ford、Hyundai等多家知名汽車品牌,被揭露可能遭Flipper Zero的多功能裝置繞過滾動碼防盜系統,讓原鑰匙失效。也進一步指出,駭客僅需捕捉一次遙控鑰匙訊號,即可無限次解鎖車輛。為此,國外有YouTuber親自在自己的車輛,以同樣的手法來進行示範,影片曝光後,引發全球車主對汽車安全的關注。
外媒《Cybersecurity News》報導,多家汽車品牌包括Mitsubishi、Subaru、Ford、Hyundai、Kia、Chrysler及Jeep,都存在此嚴重安全漏洞。這些車輛均採用滾動碼系統作為防盜機制,原本設計可生成獨一無二的代碼,以防止重複攻擊,但是,駭客利用如RollBack的手法,能逆轉代碼順序,讓車輛計數器同步倒退,進而控制車輛。而且,更關鍵的是,此問題源自於硬體接收器,單靠軟體更新是無法徹底修復,對車主而言恐怕存在風險。
對此,YouTube頻道「Talking Sasquach」在影片中表示,此韌體可能源自製造商演算法外洩或破解,且已親自示範,證實裝載暗網韌體的Flipper Zero能控制車輛。他進一步提醒,車主若發現原鑰匙突然失效,有可能是遭攻擊的徵兆。而解決方案,可能只剩大規模召回,更換硬體組件,但這對汽車產業而言,將帶來龐大物流與財務負擔,恐怕使配備為滾動碼的車輛,難以在短期內解決此安全問題。
Flipper Zero原本是一款合法的多功能工具,用於無線訊號測試與技術學習,但原始碼公開的特性,讓駭客能開發自訂韌體,轉而用於非法目的。此次事件中,裝載暗網韌體的Flipper Zero只需靠近目標車輛,捕捉一次鑰匙按壓訊號,即可反向工程加密序列,模擬所有鑰匙功能如鎖門、解鎖與開啟後車廂。相較過去複雜的攻擊方法如RollJam,此方式無需干擾訊號,操作更為簡易且危險。
延伸閱讀:
