黑客利用蓝牙低功耗攻击Tesla Model 3

NCC研究人员实现了一种新的BLE重放攻击，可入侵Tesla无钥匙进入系统。

BLE攻击

BLE（蓝牙低功耗，Bluetooth Low Energy）技术广泛应用于各类电子产品中，包括笔记本、手机、智能门锁，还包括Tesla Model 3、Model Y在内的汽车设备。

许多电子产品都实现了基于BLE的邻居认证，即发现有可信的BLE设备在附近时，产品就可以解锁或锁定。比如汽车的Phone-as-a-Key（手机即钥匙）系统、基于BLE的访问控制系统、智能手机和笔记本的可信BLE设备功能。

过去，有很多针对BLE的邻近认证重放攻击案例，现有的公开重放工具会引入可检测到的延迟，而且无法实现链路层加密的重放。因此，大多数产品通过严格的GATT响应时间限制或使用链路层加密来预防重放攻击。

NCC研究人员开发了一个工具可以执行链路层的BLE重放攻击，增加的延迟在正常GATT响应时间的变动范围内，可以实现重放加密的链路层通信。如果攻击者将重放攻击设备放置在目标BLE设备的范围内，就可以执行重放攻击来解锁或操作受害者设备。

解锁Tesla

Tesla Model 3 和 Model Y都实现了基于BLE的免钥匙进入系统（passive entry system）。该系统允许用户通过授权的移动设备或者key fob在车辆附近一定范围内解锁或操作汽车，整个过程无需用户交互。该系统是根据是根据基于BLE的加密挑战-响应的信号强度（RSSI）和延迟来推断手机设备或key fob的距离的。

NCC研究人员用开发的工具对Tesla Model 3进行了测试。测试的是运行软件版本为v11.0 (2022.8.2)的2020 Tesla Model 3，测试手机为iPhone 13 mini，Tesla APP版本号为4.6.1-891。测试重放攻击的时延在Tesla Model 3免钥匙进入系统可接受范围内，当授权移动手机或key fob超出范围后，攻击者可以通过重放攻击来解锁或操作Tesla。

DEMO视频参见：https://player.vimeo.com/video/710798583

BLE攻击细节参见：https://research.nccgroup.com/2022/05/15/technical-advisory-ble-proximity-authentication-vulnerable-to-relay-attacks/