作者：Omar Yang（vicone 汽車高級威脅研究員）

汽車進入系統正在迅速發展——從傳統鑰匙到先進的遙控無鑰匙進入 (RKE) 系統和智能鑰匙系統（也稱為被動無鑰匙進入 (PKE) 系統或被動進入被動啟動系統 (PEPS)）——既帶來了便利，也帶來了新的安全挑戰。隨著汽車盜竊的技術升級，強大的安全解決方案變得至關重要。

超寬帶 (UWB) 技術正在成為汽車安全領域的游戲規則改變者。與藍牙和射頻識別 (RFID) 不同，UWB 提供精確的距離測量，使其具有很強的抵抗中繼攻擊的能力，中繼攻擊是汽車盜竊中常用的一種方法。

我們首先要介紹汽車進入系統的歷史，并探討了值得注意的安全漏洞類型，例如重放攻擊、滾動攻擊和中繼攻擊，以及它們的有效緩解策略。作為討論的一部分，我們討論了最近的一份報告，該報告介紹了特斯拉的無鑰匙進入系統如何容易受到某些攻擊。我們揭示了解鎖過程的機制以及攻擊者如何利用它。在本系列的后半部分，我們將深入研究 UWB 技術、其應用及其潛在漏洞。

車輛進入系統簡史及其安全挑戰

車輛進入系統的發展以旨在提高便利性和安全性的重大進步為標志。最初，汽車使用簡單的機械鑰匙進行防護，這些鑰匙很容易被復制。20 世紀 80 年代末推出的遙控無鑰匙進入 (RKE) 系統標志著一次重大飛躍，允許駕駛員按下按鈕解鎖汽車。然而，隨著技術的進步，汽車盜竊的技術也越來越高超。RKE 系統變得容易受到信號干擾、重放和攔截攻擊。

下一個重大創新是智能鑰匙系統的開發，該系統允許無鑰匙進入和按鈕啟動功能。中繼攻擊是竊賊將信號從鑰匙傳導至汽車，這種攻擊成為盜竊車輛的常用方法，特別是因為它不需要物理接觸鑰匙。豪華汽車盜竊案激增導致車主的保險費飆升，因為高端汽車特別容易受到此類攻擊，并且是此類攻擊的誘人目標。隨著這些威脅的發展，對更安全的進入系統的需求變得顯而易見。這推動了超寬帶 (UWB) 技術的采用，該技術提供了更高的精度和安全性，可以有效對抗這些復雜的攻擊。

除了上面提到的無線技術外，RFID 還廣泛用于現代車輛，形式為實體卡或存儲在手機上的虛擬卡。RFID 系統僅在幾厘米內解鎖汽車，使其在直接用戶交互過程中更加安全。然而，RFID 也有其自身的弱點。它可以被相同頻率的更強無線電信號干擾，在 RFID 標簽和讀取器之間的通信期間被攔截（“嗅探”），并用于創建具有與原始 RFID 標簽相同識別碼的重復 RFID 標簽。

針對車輛進入系統的信號攻擊類型

我們已經提到了幾種可能針對 RKE 系統的信號攻擊。在本節中，我們將概述它們的工作原理。

在干擾攻擊中，黑客發送能量更高的無線電信號，這樣車輛就無法接收正確的信號。這是一種拒絕服務 (DoS) 攻擊。

圖 1. 干擾攻擊

在重放攻擊中，黑客攔截車主發送的信號。他們能夠使用捕獲的固定代碼信號獲得對車輛的未經授權的訪問。

圖 2. 重放攻擊

滾動干擾攻擊結合了信號攔截和干擾。在這種情況下，黑客會同時攔截傳輸的信號并在汽車附近干擾信號，以阻止其接收正確的信號。他們的目標是誘騙車主按下鑰匙扣兩次或多次。通過這樣做，黑客可以捕獲可用于未來攻擊的信號。這種技術針對具有滾動代碼功能的汽車。

圖 3. 滾動干擾攻擊

在中繼攻擊中，黑客將一個無線電設備放置在汽車附近，另一個放置在真正的鑰匙附近。這些無線電設備本質上是延長信號，以誘騙汽車相信鑰匙就在附近，從而允許汽車解鎖和啟動。

這些攻擊已被證明可以有效繞過上一節討論的車輛進入系統。表 1 總結了車輛進入系統的各種迭代以及可以對它們使用的不同攻擊方法。

對特斯拉 Model 3 的攻擊

UWB 是改變游戲規則的因素，也是車輛進入系統發展的下一個重要步驟。這引發了一個問題：UWB 對當前無線電黑客的有效性如何？最近一份關于最新特斯拉 Model 3 使用 UWB 的報告有助于給出一個想法。

該報告引用了 GoGoByte 研究人員的研究結果，指出盡管特斯拉 Model 3 支持 UWB，但目前并未有效使用該技術進行可以防止中繼攻擊的距離檢查。這是因為特斯拉的無鑰匙進入系統主要仍使用藍牙來解鎖汽車和控制防盜器。因此，與早期型號一樣，中繼攻擊仍然可以通過藍牙成功破解。

特斯拉已承認存在此問題，并表示正在努力提高 UWB 的可靠性和安全性。在部署必要的增強功能之前，特斯拉汽車仍然容易受到中繼攻擊。盡管如此，值得注意的是，據報道，特斯拉汽車是美國被盜頻率最低的汽車，這要歸功于其默認的 GPS 跟蹤功能。

為了解決這個問題，建議特斯拉車主利用一項名為“PIN-to-drive”的功能，該功能可充當多因素身份驗證 (MFA) 的一種形式。此功能要求駕駛員在汽車啟動前輸入四位數的 PIN 碼，即使已使用鑰匙扣或智能手機解鎖汽車也是如此。PIN-to-drive 提供了第二層保護，確保即使竊賊使用中繼攻擊解鎖汽車，也無法在不知道 PIN 碼的情況下啟動汽車。在實施更強大的 UWB 安全措施之前，此功能可有效防范當前的安全漏洞。

該報告很好地介紹了 UWB 的當前實施情況，以及仍需如何改進才能充分發揮其優勢。我們下面將會仔細研究這項技術并分析其對車輛的安全影響。

超寬帶 (UWB) 技術近年來越來越受歡迎。它被譽為下一代無鑰匙技術，并承諾可以抵御困擾其前輩的攻擊。然而，UWB 并不新鮮。它的起源可以追溯到 19 世紀末，當時 Heinrich Hertz 通過火花隙發射器實驗生成了第一個 UWB 信號。UWB 技術在 20 世紀中后期取得了重大進展，特別是在雷達系統等軍事應用中。這段豐富的歷史為 UWB 的現代應用奠定了基礎，包括它對汽車安全的變革性影響。

我們下面將研究 UWB 與車輛進入系統的集成、它帶來的優勢、它可能帶來的漏洞以及如何緩解其安全問題。

什么是 UWB 協議？

UWB 是一種無線通信技術，可在寬頻譜范圍內運行，通常在 3.1 至 10.6 GHz 之間。與使用窄帶信號的傳統無線技術（如藍牙和 Wi-Fi）不同，UWB 可在寬頻率范圍內傳輸數據。這一獨特特性使 UWB 具有獨特的優勢，尤其是在精度和安全性方面。

UWB 通過在寬頻譜范圍內傳輸短脈沖無線電波來工作。這些脈沖以精確的時間間隔發送，使接收器能夠準確確定每個脈沖到達所需的時間。通過計算時間差，UWB 可以高精度地測量設備之間的距離。這使得 UWB 成為需要精確位置跟蹤和安全通信的應用的理想選擇。

我們在此總結了 UWB 的定義特征：

高精度：UWB 可以以厘米級精度測量距離。這是通過飛行時間 (ToF) 測量實現的，其中信號從發射器傳播到接收器所需的時間用于計算距離。

低干擾：由于其頻率范圍寬、功率譜密度低，UWB 受到其他無線技術的干擾最小。這確保了即使在擁擠的環境中也能可靠地通信。

高數據速率：UWB 可以支持高數據傳輸速率，使其適用于需要快速和大量數據交換的應用。

由于其優勢，UWB 已在不同行業的各種應用中使用。為了更好地了解其用途，我們在此列出了可以找到 UWB 的幾個行業及其使用方式：

汽車行業：UWB 正在集成到車輛進入系統中，以增強安全性并防止中繼攻擊。其精確的距離測量可確保只有當授權的汽車鑰匙或手機鑰匙在特定范圍內時，汽車才會解鎖。其應用示例包括奧迪和寶馬等車輛中的高級鑰匙和基于智能手機的進入系統。

消費電子產品：智能手機和智能家居系統等設備使用 UWB 進行精確的位置跟蹤和安全的設備到設備通信。一個顯著的例子是蘋果的 AirTag，它使用 UWB 為丟失的物品提供精確的位置跟蹤，確保用戶能夠精確地找到他們的物品。

工業和醫療領域：UWB 用于實時定位系統 (RTLS)，以高精度跟蹤資產和人員，并用于醫療成像和監控應用。

仔細看看 UWB

UWB 技術傳輸脈沖信號而不是正弦波，后者在其他無線協議（如藍牙和 Wi-Fi）中更常見。時域中的脈沖持續時間短意味著頻域中的功率譜占據寬頻帶。在 UWB 應用中，脈沖持續時間以納秒或數百皮秒為單位，并具有相應的頻率。例如，持續 2 納秒的脈沖的頻率帶寬約為 500 MHz。這意味著信號占據以其載波頻率為中心的廣泛頻率范圍，范圍約為 500 MHz。與其他常見的無線技術相比，UWB 使用的頻帶要寬得多。例如，Wi-Fi 通常使用 20 到 160 MHz，而藍牙僅使用 20 MHz。

傳統窄帶通信（例如 2G 移動電話）和傳統通信（例如 Wi-Fi 和 3G 移動電話）在較窄的頻帶上以較高的功率水平運行。UWB 無線通信涵蓋很寬的頻率范圍，但傳輸功率明顯較低。

各種無線通信技術的傳輸功率比較

不同的測距和定位方法

UWB 技術提供了幾種精確的測距和定位物體的方法：

ToF 測量信號從發射器與接收器之間的時間，并根據已知的信號速度直接計算距離。在這種情況下，信號是電磁的，以光速傳播。

到達時間差 (TDoA) 使用多個接收器來確定同一信號的到達時間差，從而實現三角測量和高精度定位。

到達相位差 (PDoA) 或到達角 (AoA) 使用具有多個天線的 UWB 設備接收同一信號，從而導致天線接收的信號之間存在相位差。該相位差用于計算發射器的相對位置和距離。

雙向測距 (TWR) 涉及設備之間的信號交換，測量往返時間以確定距離。每種方法都利用 UWB 的高時間分辨率來實現精確可靠的位置跟蹤，使 UWB 適用于需要高精度的應用。這種技術的一個變體是雙面 TWR (DS-TWR)，其中至少傳輸三條消息，而不是 TWR 僅傳輸兩條消息。這種方法的優點是錨點和標簽都可以各自計算它們之間的距離。

在下圖中，目標是使用不同的測距和定位方法確定標簽的位置。

對于 ToF，標簽將 UWB 幀作為有效載荷發送，即發送幀的時間 (t1)。錨點在 t2 接收幀，并將 ToF 計算為 t2 ? t1。

圖 2. 計算標簽位置的 ToF 方法

對于 TDoA 定位，標簽發送的信號到達每個錨點的時間不同，因為標簽和錨點之間的距離不同。通過測量信號到達錨點對的時間差，可以計算出雙曲線。通過找到至少三個這樣的雙曲線的交點來確定標簽的位置。

圖 3. 確定標簽位置的 TDoA 方法

在 PDoA 或 AoA 方法中，標簽發送信號，該信號由錨點上的多個天線接收。通過獲取不同天線上相同信號的相位差并了解天線之間的距離，可以準確計算標簽的位置。

圖 4. 計算標簽位置的 PDoA 或 AoA 方法

TWR 方法改進了 ToF 方法，消除了錨點和標簽之間同步的需要，僅依賴于來自一個設備的時間戳。錨點發送標簽在傳播時間或 ToF 之后收到的消息。然后，標簽在固定的回復時間（包含在數據包中）后做出響應。然后，錨點可以使用已知的回復時間根據往返時間 (RTT) 計算 ToF。

圖 5. TWR 方法計算標簽位置

DS-TWR 方法與 TWR 方法類似，但錨點會回復標簽，讓標簽計算 RTT 并確定其與錨點的距離。

圖 6. DS-TWR 方法計算標簽位置

UWB 為何不會受到中繼攻擊的影響

正如之前所述，當鑰匙和汽車之間的信號通過由攻擊者控制的一對無線電設備創建的“隧道”進行擴展時，就會發生中繼攻擊。這是可能的，因為汽車與其鑰匙扣之間的通信通常不受時間影響。然而，由于 UWB 技術具有高時間分辨率和精確的 ToF 測量，因此在很大程度上不受中繼攻擊的影響。UWB 的精確度確保任何中繼信號的嘗試都會導致明顯的時間差異。配備 UWB 的汽車可以通過計算鑰匙鏈發射信號和汽車接收信號之間的時間差，輕松識別鑰匙的范圍。

為了說明 UWB 技術如何防止中繼攻擊，我們舉了一個例子。在這個場景中，我們假設當汽車與其鑰匙鏈之間的距離小于 1 米時，可以解鎖所涉及的汽車。汽車停在距離試圖中繼鑰匙鏈信號的竊賊 5 米的地方。

1 米外解鎖時的 ToF：

ToF 1 m = 1/3 x 108 = 3.33 ns

5 米外的 ToF：

To F5 m = 5/3 x 108 = 16.67 ns

1 米內解鎖汽車的閾值約為 3.33 ns，而信號傳播 16.67 ns 到達汽車。UWB 系統可以輕松檢測到這種差異。因此，信號被拒絕，因為到達時間比閾值長約 5 倍，表明密鑰不在預期范圍內。

UWB 如何受到攻擊

如果UWB 不受中繼攻擊的影響，那么它是否不受其他形式的攻擊的影響？盡管 UWB 提供了這些功能，但 UWB 本身并不是萬無一失的。

GoGoByte 的研究人員演示了一種針對 UWB 的攻擊，名為“UWB 精確的震耳欲聾（UWB accurate deafening）”。他們想看看是否可以通過記錄發起者和響應者的信號，然后在預期的時間范圍內發送惡意數據包來引起消息沖突。在他們的實驗中，研究人員成功破壞了 iPhone 和 AirTag 之間的測距功能。在攻擊發起者時，攻擊設備被放置在發起者附近以嗅探信號。通過在正確的時間發送虛假消息，發起者將無法正確解析來自預期響應者的消息。

圖 7. 對車輛進入系統的 UWB accurate deafening

如果在無鑰匙進入啟動 (PKES) 系統中強制使用 UWB，則此類攻擊可能導致車輛進入系統出現拒絕服務 (DoS)。但是，如果在解鎖汽車時不需要實時測距，或者在沒有 UWB 的情況下執行 PKES，汽車盜竊仍然可能發生。

如何緩解針對 UWB 的攻擊

UWB accurate deafening等攻擊之所以能夠成功實施，主要是因為可以輕松預測消息的時間。為了緩解這些攻擊，可以在接收信號和發送信號之間引入隨機延遲。這樣，只有發起者和響應者才能期待彼此的真實消息，而攻擊者發送的消息將超出設計的時間范圍，因此會被忽略。如圖 8 中的圖表所示，如果響應時間對于攻擊者來說是不可預測的，那么攻擊者發送消息的時間要么比真實消息更早，要么比真實消息更晚。

圖 8. 引入隨機延遲以減輕對 UWB 協議的攻擊

我們回顧了使用 UWB 之前車輛進入系統的過去版本，每個版本都容易受到某種形式的攻擊。需要強調的是，安全性應成為在車輛中實施 UWB 的一個重要考慮因素，因為它本身并不是針對車輛盜竊和其他形式的進入系統攻擊的絕對防御手段。

喜歡我們的文章嗎？歡迎在wx關注我們的訂閱號：汽車開發圈（ID：AutoDevelopers），瀏覽更多汽車電子相關內容。