全球汽车盗窃产业的一次革命？

作者 / 杜咏芳

编辑 / 黄大路

设计 / 张    萌

也许你还不知道，一款外观酷似电子宠物玩具、名为Flipper Zero的设备，正被黑客改造为破解汽车门锁的工具。

美国调查新闻网站404 Media披露，有黑客在地下交易市场出售Flipper Zero的定制软件与补丁，可将其改造为多款主流品牌汽车的替代钥匙扣，实现远程解锁车辆。

目前看来，受影响的品牌包括福特、奥迪、大众、斯巴鲁、现代、起亚，等等。

数字窃车成为新威胁

令人啼笑皆非的是，Flipper Zero本是一款用于测试系统漏洞的工具，用户可按照个人需求灵活扩展功能，将常用的安全探测与渗透测试硬件工具集成于单一设备中，支持对各类门禁系统、RFID标签、无线电协议进行安全研究，并通过GPIO引脚进行硬件调试与交互分析。

恰恰是Flipper Zero这种完全开源并支持高度自定义的特性，为不法分子利用来进行恶意活动埋下了隐患。

一位化名为“Daniel”的黑客，专门兜售可将Flipper Zero变为汽车解锁工具的补丁，并提供两种购买方案：一档售价600美元，提供最新版本的软件；另一档售价1000美元，除软件外还附带“未来更新与技术支持”服务。

于是，官方售价200美元的设备价格已飙升至3到5倍，充分反映出该软件补丁在地下交易市场的强烈需求。

然而，这类由Daniel等人销售的软件补丁，目前正遭到其他黑客破解，原本的付费机制正在逐渐被打破，这意味着Flipper Zero在地下渠道的传播可能会变得更为广泛。

与此同时，还有人故意散布虚假补丁混淆视听，进一步加剧了该类工具滥用所带来的安全风险。

在未来，偷窃汽车可能不再需要暴力破开车窗或者车门，也不会充斥刺耳的警报和噪音，而是演变成一场隐蔽化的数字入侵。

一场汽车智能安全与汽车盗窃技术之间的战役已经悄然打响，在这场没有硝烟的战争中，安静可能才是最可怕的警报声。

理论安全与实际风险的裂缝

针对此事件，逆向工程界的一位人士在采访中表示：“到2026年，Kia Boys（起亚男孩）将会变成Flipper Boys。”

Kia Boys的作案手法依赖于车型的机械设计缺陷，因为在2011年至2021年生产的部分起亚和现代车型中，许多没有配备发动机防盗锁止系统。

人们只需要撬开起亚汽车转向柱下方的塑料盖板，用一根常见的USB数据线插入钥匙孔，像拧钥匙一样转动，就能轻松启动并开走汽车，整个过程耗费不到一分钟。

如果说Kia Boys足以让人震惊，那么，Flipper Boys的出现是否会代表汽车盗窃产业的一次彻底革命，毕竟他们连数据线都不需要了。

对此，Flipper Zero的开发公司持反对态度：“真正的偷车贼不会使用Flipper Zero，他们有专门的中继工具”。

毕竟，Flipper Zero上的解锁软件针对的是1980年代中期由 Microchip 公司开发的硬件专用分组密码技术（KeLoq）中一个众所周知的漏洞。

这家公司还特别强调：“如果汽车可能受到 Flipper Zero的攻击，那么它也同样可能被一根电线轻易入侵。”

2024年2月，当加拿大政府计划禁止进口 Flipper Zero以及与其类似的设备时，Flipper Devices首席运营官Alex Kulagin就曾公开声称其产品不具备主动拦截汽车滚动码信号的功能。

20世纪90年代后生产的汽车的安全系统有滚动代码，其工作原理是在钥匙和汽车之间采用同步算法。每次按下钥匙按钮，都会生成一个全新、唯一且难以预测的代码，已使用的旧代码将被汽车拒绝，使得简单的信号录制和重放手段失效。这种系统使得攻击者需要主动拦截车主发出的信号才能获取原始信号进行分析和克隆。

可事实真的像Flipper Devices所说的这么轻描淡写吗？理论安全和现实风险的裂缝正在不断扩张。

Flipper Zero从设计之初就内置了安全绕过功能，可以绕过别人锁就意味着其在技术运用过程中不可避免地游走在法律和道德的灰色地带，隐藏在“可爱海豚”表象之下的安全利刃迟早会显露出来。

况且，Flipper Zero的传播向我们传递了一个非常重要的信号——汽车专业盗窃技术正在走向民主化、普及化，以电子消费品为形式的线上黑市的交易使汽车盗窃技术的获取门槛显著降低。

这与当年Kia Boys通过TikTok通过社交软件分享盗窃技术有着异曲同工之妙，技术易得性以及开源属性将在极大程度上推动基于类似Flipper Zero设备作为载具的汽车盗窃技术发展，汽车安全的现实风险与日俱增。

谨慎回应背后的艰难平衡

Kia Boys让现代和起亚用2亿美元的代价给所有汽车制造商上了惨痛的一课，互联网时代的汽车安全问题绝不容小觑，谁也不想成为下一个现代或者起亚。Flipper Zero事件发生后，汽车制造商表现得十分谨慎。起亚和现代均表示，“对此事件会保持密切关注，但尚未注意到任何由 Flipper Zero而导致的车辆盗窃案件”。大众、福特和斯巴鲁等汽车制造商则选择保持沉默。当下，AES-128 等先进加密算法凭借更高的破解难度、更稳定的加密性能，已成为主流车企在智能防盗系统、车联网通信中的标配，而UWB（超宽带）等新一代通信协议也以高精准定位能力和强抗干扰能力，在汽车数字钥匙上逐步替代传统射频方案。

但是，仍有一些低端汽车产品或者老旧车型仍使用KeeLoq加密解密技术，这就让Flipper Zero有了用武之处。这种现状其实反应了汽车智能安全技术开发与成本控制之间的矛盾。

一方面，汽车行业正面临从“硬件定义汽车”向“软件定义汽车”的转型，汽车制造商需推动云计算、车联网、自动驾驶和V2X等技术的融合应用，加速产品迭代以顺应市场竞争；

另一方面，智能技术开发周期长，商业落地的不确定性仍比较高，汽车制造商无法放弃低端市场维护，老旧技术仍有生存空间，这无疑为潜在攻击者留下了可乘之机。

《汽车商业评论》认为，这场由Flipper Zero 引发的风暴是汽车智能化进程中安全问题的升级，正在逼迫整个汽车行业以更认真、更严肃的态度去审视汽车智能安全的底层逻辑，因为随着汽车安全的核心战场从传统的物理锁具转移到数字代码，犯罪分子会紧跟脚步完成犯罪升级。

试想，当更多类似 Flipper Zero黑客工具普遍化，汽车智能安全又将面临何种严峻的挑战？