看了标题，你一定很好奇，世界上怎么有这么不怕死的男人对不对？

哦，没关系，因为这两个男人也是黑客。

但是，不要急着关，我真的不是标题党。

因为，这个女黑客真的把自己的小汽车贡献出来让他的男同事做实验。

她绝对不是吃素的——在 2015 年就在黑客盛会 DEFCON 上对无人机 GPS 进行了破解。也就是说，这个酷酷的女黑客真的可以操作两下，对着天空一指，就能“打下”一架无人机。

这个女黑客名叫黄琳，是 360 无线安全研究院中的一员，而演示如何不用钥匙就能开走她的车车的是团队两个小同事——年龄不详但看着很年轻的李均和出生于1998年的曾颖涛。

－－介绍完毕，“盗车”演示开始－－

车主黄琳出来逛街，把车停到一个咖啡店外，准备到 50 米外的咖啡店买杯咖啡，突然，闪出了一个“别有用心”的曾颖涛和他的“同伙”李均。

曾颖涛和李均早就看上了黄琳的车，想盗走黄琳的车出去约会小姐姐（此处，请假定他们是没有同事情谊的陌生人）。

然后，他们开始下手了……

曾颖涛和李均两人各手持一个上图中的装备，曾颖涛负责排在黄琳身后，与她保持两米或小于两米的距离。

携带着这个工具（不是撬锁工具，不要想太多）的李均来到车旁，趁黄琳正在咖啡馆排队，当他手中工具指示灯亮起，随即按下车门把手的感应按钮，顺利打开车门，并且发动了车子，并在一众闪光灯面前表演了开车灯、前进、倒车……

倘若他要是想偷偷开走黄琳的车，是轻而易举的。

要是图片看的不过瘾，直接看视频吧：

－－演示结束，原理大揭秘－－

1.到底原理是怎么样的啊喂？我很好奇。

无钥匙开车，一般采用的是 RFID 无线射频技术和车辆身份编码识别系统。近距离时，车主不需要掏出钥匙按遥控器来打开汽车，只需要按下车门把手上面的按钮，汽车就会自动检测钥匙是否在旁边并进行匹配认证，如果检测成功，则允许打开车门。出于安全考虑，通常钥匙感应距离在一米左右。

在这个实验中，研究人员搭建了一个特殊“桥梁”，通过技术手段，将感应距离扩展到了上百米，钥匙发出的无线电信号通过工具传输到汽车电脑，汽车电脑误以为钥匙就在旁边，最终汽车信号和钥匙被欺骗，允许无钥匙开启车门、开动汽车。

在这个过程中，曾颖涛手中的工具短暂地采集了黄琳身上车钥匙的信号，然后把因为距离遥远极弱的信号“放大”成正常信号传递给李均手中的工具进行接收和处理，然后这个伪装成“车钥匙”的工具和被蒙在鼓里的汽车开始了正常通讯……

在整个过程中，记住，两个工具并不是“信号放大器”，而是两个小骗子，将弱信号伪装成了正常信号与汽车“谈情说爱”。

2.所有的车都能被这样盗走吗？

不是

事实上，在演示过程中，刚开始看上去两位盗车人没有成功，杨卿说，因为在场围观的人太多，有可能挡住了两个盗车人手中的工具交流信号。

这意味着，如果有较多遮挡物，可能影响两个工具交流信号，从而影响最后的实验效果。

但是，目前已经有发现数个品牌车辆存在类似风险，他们都采用了某通信模块设备公司的一种 RFID 技术通信协议解决方案，相同的风险可能会在使用此方案的多个品牌等几十款车型存在。

3.车钥匙用的是 RFID 的原理，你们也曾经搞过 RFID 的破解，是不是可以拷贝车钥匙的 RFID ，也就是说，“造出”一个车钥匙，随时开走别人的车？

杨卿：也有可能，汽车厂商对于自家车系统的安全性设计和预算投入之间有平衡，现在能拷贝车钥匙的情况不是特别多。

我们经常碰到拷贝车钥匙的情况是是车商用自己的维修设备，在车主自己丢钥匙的情况下进行拷贝。

从外部拷贝车钥匙的难度还是有的，现在一些高端车的车钥匙系统的芯片和主要安全方案还是比较有保证的。

今天这种攻击其实属于取巧（编者注：其实就是脑洞开得特别大），没有破解车钥匙，但把车钥匙的信号延长，让汽车以为车钥匙就在车附近，就可以把车门打开。

4.刚才看着你们搞掉一辆车真的很轻松的样子，事实上也这么轻松吗？（其实是想问到底有没有技术含量吧……汗……）

杨卿：首先，这项破解议题被今年的 BlackHat 会议收录，我们在几天后将在拉斯维加斯做演示。BlackHat 每年议题的投递和入选率之比低于20%，这项技术和全球技术比较之后脱颖而出。

其次，这项技术对安全行业研究人员能力要求比较高，对无线层的安全研究能力综合性要求比较强，要有基础的安全知识，对射频模块要有调试能力，要自己动手做 PCB 的芯片设计、芯片选型，做出来后，要验证，是很多技术领域综合的成果。

在宅客频道看来，一句话总结——其实这是一项很厉害的技术，不要看我们搞得这么轻松。

在实际情况中，其实这个团队做了很多次试验，来解决可能因为两个工具处理信号与互相通讯造成的延时问题。

一开始，延时5 纳秒或几纳秒，汽车就能判断这个信号不是我家真钥匙，而是其他妖艳贱货。

安全研究人员通过大量测试+验证，换了不少芯片后，最后才实现了这两个工具能在有效时间周期内，把真车钥匙的信号传给汽车，被汽车接纳。

杨卿说，每次买芯片都挺贵的，还要做，比如改板子，发到工厂那儿，工厂还要生产出来，按安全行业高工资的研究员的月薪来算，这个事儿要半年时间才能做出来，虽然整体工具成本才几百元……

人家是很贵的！

5.现在这个漏洞补上了吗？

杨卿：一般涉及硬件类的漏洞修复周期挺长。先通过关注度高的安全会议做演示，演示发出时我们也和主流厂商说，他们验证之后自己也会设计更安全的系统。

但是，汽车类生产从设计到把车做出来，跑过所有测试基本都要5年左右的时间，但验证模块可以在一年或半年内完成，但它需要修复成本，比如把车召回或者直接通过升级把系统换掉才能解决这个事情。

一般修复成本比较高，除非这个厂商是做的是车联网汽车，设计系统之初建立了良好的升级体系，比如OTA，将来出现任何问题，所有的预算都是软件化的，一提漏洞，就能快速升级blabla……

到底有没有？

其实，就是还没有。

6.这么危险？那么我怎么保护自己的车不被这种技术盗走？（说得我好像有车一样）

车主防范攻击，可以把车钥匙放在锡纸做的盒子里，采用信号屏蔽的方式，但这样非常不便于日常使用，所以最根本的解决办法是此类生产通信模块的公司对通信协议进行完善，360已通报相关厂商进行技术升级，为广大车主消除安全隐患。在下周的BlackHat上展示这项研究成果被展示后，完整解决方案也将同步公布。

厂商不要哭，乖，还有几天。

最后，鸣谢一直站得很有范的360无线安全研究院负责人杨卿的讲解。