Команда исследователей из Левенского католического университета в Бельгии нашла уязвимость в системе бесключевого доступа на электромобилях Tesla и суперкарах McLaren: им удалось клонировать ключи.

Специалисты исследовательской группы по компьютерной безопасности и промышленной криптографии (COSIC) разработали методику атаки на систему бесконтактного доступа английской фирмы Pektron, которая используется на электромобилях Tesla, суперкарах McLaren и мотоциклах Triumph. Студент Лёвенского университета Леннарт Вутерс сделал об этом доклад на криптографической конференции CHES в Амстердаме.

Хакеры проанализировали протокол радиообмена между машиной и ключом: выяснилось, что он проходит в две стадии. Электроника на борту машины, словно радиомаяк, постоянно посылает в эфир слабые сигналы с идентификатором автомобиля. Если приемник в ключе принял сигнал "своей" машины, он отсылает ответ: начинается вторая стадия.

В ходе второй фазы машина отправляет случайную посылку объемом 40 бит. Блок внутри ключа хэширует ее при помощи записанного внутри шифроключа, и формирует ответ длиной 24 бит. Блок на борту автомобиля проделывает ту же операцию: если хэш, полученный с ключа, совпадает с вычисленным на борту, автомобиль открывается.

В мае прошлого года несколько европейских предприятий альнса Renault-Nissan прекратили работу из-за массированной кибератаки. Годом ранее хакеры нашли способ взломать и получить доступ к некоторым системам гибридного кроссовера Mitsubishi Outlander PHEV, производитель которого — компания Mitsubishi Motors, также принадлежит альянсу Renault-Nissan.

Хакеры выяснили, что никакой аутентификации на первой стадии не ведется — таким образом, злоумышленник может сформировать ответ, и сразу запустить вторую стадию с обменом ключами. Но основная уязвимость заключена именно во второй фазе.

Бельгийцы обнаружили, что для превращения исходной посылки в кодовый ответ используется устаревший алгоритм DST40. Его уязвимость еще в 2005 году показала команда профессора Эви Рубина из Университета информационной безопасности Джонса Хопкинса. Американцы тогда смогли полностью воссоздать работу алгоритма.

В процессе команда Рубина выяснила, что для вычисления правильного шифроключа нужно всего два раза отправить случайную посылку, оба раза записав сформированый беспроводным ключом ответ. Если пользоваться так называемыми "радужными таблицами" — списком заранее вычисленных пар "запрос-ответ" — то на подбор ключа уходит всего пара секунд. В свою очередь, сформировать "радужную таблицу" можно за несколько часов работы специальной платы-брутфорсера.

Специалисты из COSIC собрали макет средства для атаки, состоящий из недорогих компонентов: одноплатного компьютера Raspberry Pi 3 Model B+, радиомодулей Proxmark3 и Yard Stick One, а также мощной батареи. Доступ к радужным таблицам на удаленном диске осуществлялся по Wi-Fi.

Ниже вы можете посмотреть видео с примером атаки.

Шаг 0: Злоумышленник записывает сигнал "маяка" с двухбитным идентификатором машины. Шаг 1: Злоумышленник "притворяется автомобилем" и дважды транслирует ключу 40-битную посылку, а затем записывает 24-битный ответ. Шаг 2: Злоумышленник ищет подходящий шифроключ по "радужным таблицам": первая пара "запрос-ответ" позволяет сократить число вариантов до 2^16, вторая — найти единственный верный ключ. Шаг 3: Злоумышленник имитирует реальный беспроводной ключ, и может воспользоваться машиной.

Специалисты из Левенского католического университета опробовали методику только на электромобиле Tesla Model S. Но судя по документации, аналогичное оборудование фирмы Pektron используется на автомобилях марок McLaren и Karma, а также мотоциклах Triumph. Из-за указанной уязвимости фирма Tesla добавила в свои машины функцию запуска после ввода PIN-кода — включить эту опцию рекомендуется всем владельцам Теслы.

Владельцам других машин с системой Pektron хакеры из Левена рекомендуют либо держать ключи в метализированном кожухе, исключающем радиообмен, либо доработать сам ключ — добавить кнопку выключения радиомодуля.