Хакеры научились вскрывать Теслу и McLaren за две секунды
Специалисты исследовательской группы по компьютерной безопасности и промышленной криптографии (COSIC) разработали методику атаки на систему бесконтактного доступа английской фирмы Pektron, которая используется на электромобилях Tesla, суперкарах McLaren и мотоциклах Triumph. Студент Лёвенского университета Леннарт Вутерс сделал об этом доклад на криптографической конференции CHES в Амстердаме.
Хакеры проанализировали протокол радиообмена между машиной и ключом: выяснилось, что он проходит в две стадии. Электроника на борту машины, словно радиомаяк, постоянно посылает в эфир слабые сигналы с идентификатором автомобиля. Если приемник в ключе принял сигнал «своей» машины, он отсылает ответ: начинается вторая стадия.
В ходе второй фазы машина отправляет случайную посылку объемом 40 бит. Блок внутри ключа хэширует ее при помощи записанного внутри шифроключа, и формирует ответ длиной 24 бит. Блок на борту автомобиля проделывает ту же операцию: если хэш, полученный с ключа, совпадает с вычисленным на борту, автомобиль открывается.
Хакеры выяснили, что никакой аутентификации на первой стадии не ведется — таким образом, злоумышленник может сформировать ответ, и сразу запустить вторую стадию с обменом ключами. Но основная уязвимость заключена именно во второй фазе.
Бельгийцы обнаружили, что для превращения исходной посылки в кодовый ответ используется устаревший алгоритм DST40. Его уязвимость еще в 2005 году показала команда профессора Эви Рубина из Университета информационной безопасности Джонса Хопкинса. Американцы тогда смогли полностью воссоздать работу алгоритма.
В процессе команда Рубина выяснила, что для вычисления правильного шифроключа нужно всего два раза отправить случайную посылку, оба раза записав сформированый беспроводным ключом ответ. Если пользоваться так называемыми «радужными таблицами» — списком заранее вычисленных пар «запрос-ответ» — то на подбор ключа уходит всего пара секунд. В свою очередь, сформировать «радужную таблицу» можно за несколько часов работы специальной платы-брутфорсера.
Специалисты из COSIC собрали макет средства для атаки, состоящий из недорогих компонентов: одноплатного компьютера Raspberry Pi 3 Model B+, радиомодулей Proxmark3 и Yard Stick One, а также мощной батареи. Доступ к радужным таблицам на удаленном диске осуществлялся по Wi-Fi.
Ниже вы можете посмотреть видео с примером атаки.
• Шаг 0: Злоумышленник записывает сигнал «маяка» с двухбитным идентификатором машины • Шаг 1: Злоумышленник «притворяется автомобилем» и дважды транслирует ключу 40-битную посылку, а затем записывает 24-битный ответ • Шаг 2: Злоумышленник ищет подходящий шифроключ по «радужным таблицам»: первая пара «запрос-ответ» позволяет сократить число вариантов до 2^16, вторая — найти единственный верный ключ • Шаг 3: Злоумышленник имитирует реальный беспроводной ключ, и может воспользоваться машиной
Специалисты из Лёвенского католического университета опробовали методику только на электромобиле Tesla Model S. Но судя по документации, аналогичное оборудование фирмы Pektron используется на автомобилях марок McLaren и Karma, а также мотоциклах Triumph. Из-за указанной уязвимости фирма Tesla добавила в свои машины функцию запуска после ввода PIN-кода — включить эту опцию рекомендуется всем владельцам Теслы.
Владельцам других машин с системой Pektron хакеры из Лёвена рекомендуют либо держать ключи в метализированном кожухе, исключающем радиообмен, либо доработать сам ключ — добавить кнопку выключения радиомодуля.