Wouters利用了他在Model X的无密码进入系统中发现的一系列安全问题一一其中 包括主要问题和次要问题一这些问题加在一起能完全解锁车辆,从而启动和窃取车 辆。首先,ModeIX的车钥匙缺少固件更新的密码签名,特斯拉的ModeIX车 钥匙,可以通过蓝牙无线连接到ModeIX内部的计算机来实现在线固件更新,但没有 确认新的固件代码有来自特斯拉的不可伪造的密码签名。Wouters发现他可以用自己 的电脑和蓝牙接入目标ModeIX的车钥匙锁,重写固件,利用它访问到车钥匙锁内部 的加密芯片,利用该芯片为车辆生成解锁代码。然后,通过蓝牙将解锁代码发回自己 的计算机,整个过程耗时90秒。
起初,Wouters发现建立蓝牙连接并不那么容易。Model X车钥匙锁的蓝牙射频信 号的唤醒〃状态只能持续几秒钟。随后,Wouters很快发现负责ModeIX无密 码接入系统的计算机中,有一个车身控制模块(body control module, BCM)也可
了不到$100, -Wouters利用它将攻击射频信号发送给车钥匙。(初始化唤醒命令必 须在大约15米以内的近距离发射,但如果车辆在户外,可以在数百英尺外执行固件更 新。)
Wouters还发现,BCM从汽车VIN号码的最后五位数字导出了一个识别代码,它是 车钥匙锁身份的唯一识别码。窃贼可以透过目标汽车的挡风玻璃,读取仪表盘上的这 些数字,然后可以用它为盗版BCM创建一个密码。Wouters说:“最终,你会认为 复制了一个属于目标车辆的BCM,强制复制的BCM给目标车辆的车钥匙锁发送唤醒 命令。