也許你還不知道，一款外觀酷似電子寵物玩具、名為Flipper Zero的裝置，正被駭客改造為破解汽車門鎖的工具。美國調查新聞網站404 Media披露，有駭客在地下交易市場出售Flipper Zero的定製軟體與補丁，可將其改造為多款主流品牌汽車的替代鑰匙扣，實現遠端解鎖車輛。目前看來，受影響的品牌包括福特、奧迪、大眾、斯巴魯、現代、起亞，等等。01 數字竊車成為新威脅令人啼笑皆非的是，Flipper Zero本是一款用於測試系統漏洞的工具，使用者可按照個人需求靈活擴展功能，將常用的安全探測與滲透測試硬體工具整合於單一裝置中，支援對各類門禁系統、RFID標籤、無線電協議進行安全研究，並通過GPIO引腳進行硬體偵錯與互動分析。恰恰是Flipper Zero這種完全開源並支援高度自訂的特性，為不法分子利用來進行惡意活動埋下了隱患。一位化名為“Daniel”的駭客，專門兜售可將Flipper Zero變為汽車解鎖工具的補丁，並提供兩種購買方案：一檔售價600美元，提供最新版本的軟體；另一檔售價1000美元，除軟體外還附帶“未來更新與技術支援”服務。於是，官方售價200美元的裝置價格已飆升至3到5倍，充分反映出該軟體補丁在地下交易市場的強烈需求。然而，這類由Daniel等人銷售的軟體補丁，目前正遭到其他駭客破解，原本的付費機制正在逐漸被打破，這意味著Flipper Zero在地下管道的傳播可能會變得更為廣泛。與此同時，還有人故意散佈虛假補丁混淆視聽，進一步加劇了該類工具濫用所帶來的安全風險。在未來，偷竊汽車可能不再需要暴力破開車窗或者車門，也不會充斥刺耳的警報和噪音，而是演變成一場隱蔽化的數字入侵。一場汽車智能安全與汽車盜竊技術之間的戰役已經悄然打響，在這場沒有硝煙的戰爭中，安靜可能才是最可怕的警報聲。02 理論安全與實際風險的裂縫針對此事件，逆向工程界的一位人士在採訪中表示：“到2026年，Kia Boys（起亞男孩）將會變成Flipper Boys。”Kia Boys的作案手法依賴於車型的機械設計缺陷，因為在2011年至2021年生產的部分起亞和現代車型中，許多沒有配備發動機防盜鎖止系統。人們只需要撬開起亞汽車轉向柱下方的塑料蓋板，用一根常見的USB資料線插入鑰匙孔，像擰鑰匙一樣轉動，就能輕鬆啟動並開走汽車，整個過程耗費不到一分鐘。如果說Kia Boys足以讓人震驚，那麼，Flipper Boys的出現是否會代表汽車盜竊產業的一次徹底革命，畢竟他們連資料線都不需要了。對此，Flipper Zero的開發公司持反對態度：“真正的偷車賊不會使用Flipper Zero，他們有專門的中繼工具”。畢竟，Flipper Zero上的解鎖軟體針對的是1980年代中期由 Microchip 公司開發的硬體專用分組密碼技術（KeLoq）中一個眾所周知的漏洞。這家公司還特別強調：“如果汽車可能受到 Flipper Zero的攻擊，那麼它也同樣可能被一根電線輕易入侵。”2024年2月，當加拿大政府計畫禁止進口 Flipper Zero以及與其類似的裝置時，Flipper Devices首席營運官Alex Kulagin就曾公開聲稱其產品不具備主動攔截汽車滾動碼訊號的功能。20世紀90年代後生產的汽車的安全系統有滾動程式碼，其工作原理是在鑰匙和汽車之間採用同步演算法。每次按下鑰匙按鈕，都會生成一個全新、唯一且難以預測的程式碼，已使用的舊程式碼將被汽車拒絕，使得簡單的訊號錄製和重放手段失效。這種系統使得攻擊者需要主動攔截車主發出的訊號才能獲取原始訊號進行分析和克隆。可事實真的像Flipper Devices所說的這麼輕描淡寫嗎？理論安全和現實風險的裂縫正在不斷擴張。Flipper Zero從設計之初就內建了安全繞過功能，可以繞過別人鎖就意味著其在技術運用過程中不可避免地遊走在法律和道德的灰色地帶，隱藏在“可愛海豚”表象之下的安全利刃遲早會顯露出來。況且，Flipper Zero的傳播向我們傳遞了一個非常重要的訊號——汽車專業盜竊技術正在走向民主化、普及化，以電子消費品為形式的線上黑市的交易使汽車盜竊技術的獲取門檻顯著降低。這與當年Kia Boys通過TikTok通過社交軟體分享盜竊技術有著異曲同工之妙，技術易得性以及開源屬性將在極大程度上推動基於類似Flipper Zero裝置作為載具的汽車盜竊技術發展，汽車安全的現實風險與日俱增。03 謹慎回應背後的艱難平衡Kia Boys讓現代和起亞用2億美元的代價給所有汽車製造商上了慘痛的一課，網際網路時代的汽車安全問題絕不容小覷，誰也不想成為下一個現代或者起亞。Flipper Zero事件發生後，汽車製造商表現得十分謹慎。起亞和現代均表示，“對此事件會保持密切關注，但尚未注意到任何由 Flipper Zero而導致的車輛盜竊案件”。大眾、福特和斯巴魯等汽車製造商則選擇保持沉默。當下，AES-128 等先進加密演算法憑藉更高的破解難度、更穩定的加密性能，已成為主流車企在智能防盜系統、車聯網通訊中的標配，而UWB（超寬頻）等新一代通訊協議也以高精準定位能力和強抗干擾能力，在汽車數字鑰匙上逐步替代傳統射頻方案。但是，仍有一些低端汽車產品或者老舊車型仍使用KeeLoq加密解密技術，這就讓Flipper Zero有了用武之處。這種現狀其實反應了汽車智能安全技術開發與成本控制之間的矛盾。一方面，汽車行業正面臨從“硬體定義汽車”向“軟體定義汽車”的轉型，汽車製造商需推動雲端運算、車聯網、自動駕駛和V2X等技術的融合應用，加速產品迭代以順應市場競爭；另一方面，智能技術開發周期長，商業落地的不確定性仍比較高，汽車製造商無法放棄低端市場維護，老舊技術仍有生存空間，這無疑為潛在攻擊者留下了可乘之機。《汽車商業評論》認為，這場由Flipper Zero 引發的風暴是汽車智能化處理程序中安全問題的升級，正在逼迫整個汽車行業以更認真、更嚴肅的態度去審視汽車智能安全的底層邏輯，因為隨著汽車安全的核心戰場從傳統的物理鎖具轉移到數字程式碼，犯罪分子會緊跟腳步完成犯罪升級。試想，當更多類似 Flipper Zero駭客工具普遍化，汽車智能安全又將面臨何種嚴峻的挑戰？ (汽車商業評論)