據《今日美國》報道,來自中國安全研究人員第二次成功破解了特斯拉Model X系統。研究人員能夠遠程開啓汽車的制動器,車門和汽車後備箱也能夠被打開和關閉。不僅如此,研究人員還能讓車燈閃爍,車內廣播播放音樂。他們把這一破解行為稱之為“未經許可的聖誕表演。”
破解過程:利用汽車網絡瀏覽器漏洞發送惡意軟件
報道指出,這一破解過程比較複雜,研究者們利用汽車網絡瀏覽器中存在的一系列漏洞,並藉此發送惡意軟件。他們甚至還能夠通過無線局域網(Wi-Fi)和蜂窩連接(移動數據連接)來遠程控制汽車。
來自中國科技巨頭騰訊公司的科恩實驗室總監呂一平(Samuel Lv)説,今年六月,研究者們將自己的發現告訴了特斯拉公司,該公司在兩週之內修補了這些漏洞。
科恩實驗室汽車破解小組首席研究員聶森説:“我們向特斯拉公司通報了去年發現的漏洞,他們已經對此進行了修復。今年,我們在研究中發現了新的漏洞,而且我們能夠對汽車進行同樣的遠程控制。”在科恩實驗室的一次安全研究員會議上,他和他的同事展示了這項研究。
聶森強調説,這項工作是複雜的,它不容易被複制。他還説,研究人員並不相信特斯拉原本就比其他汽車更容易攻破。
查理·米勒是一名黑客,2015年查理名聲大噪,因為他和另一名研究者克里斯·瓦拉塞克一起攻破了一輛吉普車。上週四,查理·米勒在“黑帽駭客大會”上參加了該小組的展示。
他説:“世界上只有三個小組能夠成功地將汽車破解。一個來自2010年華盛頓大學的成功案例,然後是我和克里斯,而現在來自中國的團隊。他們已經做過兩次了。”
報道稱,聶森帶領的小組是騰訊公司的一部分。2016年,騰訊開始增加了諮詢和安全研究,並啓動了聶森帶領的以汽車安全為重點的小組。該小組和中國的許多公司進行合作。這些公司為世界汽車工業生產零部件和系統。
呂一平表示:“很多原始設備製造商沒有解決網絡安全問題的知識或背景。我們與他們協商,幫助他們評估汽車連接模塊的安全性”。
連續兩次 遠程干預汽車剎車系統
報道稱,這實際上已經是該實驗室連續第二年成功地“侵入”特斯拉,並遠程地干預其剎車系統。
2016年9月,科恩實驗室第一次破解了特斯拉的Model S。科恩實驗室的研究人員當時以類似的方式進入了特斯拉汽車的剎車系統。隨後特斯拉公司發佈瞭解決方案,以加強汽車的安全性。特斯拉公司當時迅速發佈了一個更新以及更多的有關漏洞修復的細節。
在攻破特斯拉汽車之後,科恩實驗室發佈的一段8分鐘左右的視頻,該視頻顯示,研究人員設法演示了各種破解汽車的行為。當汽車車停了之後,這些研究人員演示了他們可以控制汽車天窗、轉向燈、座位位置、所有的顯示器以及門鎖系統。
此外,他們還做了演示,當汽車在行駛的時候,他們可以啓動擋風玻璃刮水器,摺疊側視鏡,並可以打開汽車後備箱。他們還演示了黑客可以在很遠的距離之外啓動制動器。
科恩實驗室的研究人員表示,他們所展示的侵入行為都是有可能發生的,因為一系列的漏洞是連在一起的。
科恩實驗室通過特斯拉汽車公司旗下網站的“有獎捉蟲計劃”(bug bounty program)將這些漏洞向他們公開了。為了提高汽車的安全性,特斯拉公司早在2014年便做出承諾,任何成功破解特斯拉汽車的黑客都可以得到10000美元的獎勵。
科恩實驗室表示,特斯拉已經證實了這些缺陷的存在,並將努力解決這些問題。幸運的是,特斯拉公司可以通過空中下載技術發佈固件更新,這就意味着與其他汽車製造公司不同的是,特斯拉公司不需要通過召回汽車來安裝安全補丁。
據科技網站Electrek報道,在這一破解事件發生後,特斯拉汽車製造公司很快通過操作系統和瀏覽器對這兩個漏洞進行了修復。
公司回應 並沒有車主受影響 鼓勵這些研究
特斯拉公司在一份聲明中表示,他們鼓勵這種類型的研究,因為這樣可以防止潛在的問題發生。該聲明稱,這種漏洞對客户造成的風險非常低,特斯拉公司還沒有發現任何一個車主受到影響。
據《安全週末》新聞報道,特斯拉的發言人還補充説:“這種演示並不容易做到,這些研究人員克服了我們最近在改進系統時所造成的重大挑戰。為了讓其他人受到這種影響,他們不得不使用他們汽車上的網絡瀏覽器,並通過一系列不太可能的條件來發送惡意內容。我們對做這種演示的研究小組表示讚揚,而且我們期待繼續與他們以及其他人合作,這樣我們就可以推進這種研究。”
報道稱,過去,特斯拉的Model S, Model X 和Model 3也曾遭破解,特斯拉的首席執行官埃隆·馬斯克對此表示關心。本月早些時候,在一次會議上,馬斯克表示特斯拉正在做出努力,以確保汽車不受互聯網“入侵”問題的影響。他還表示,防止汽車被破解將成為公司的首要安全任務之一。
這位電動汽車大亨還開玩笑説,也許有一天,黑客會讓特斯拉的無人駕駛汽車行駛到羅得島上去。
馬斯克説:“我認為無人駕駛汽車最令人關注的問題之一是有人會實現全面的入侵。 如果有人説他能夠破解特斯拉所有的無人駕駛汽車,他們會説把它們全部送到羅得島去。這對特斯拉來説將是一種終結,羅得島上的很多人都會憤怒。”
分析解讀 車主在連接互聯網和網站訪問時需謹慎
對於2016年9月科恩工作室破解特斯拉汽車的事件,科技網站Electrek表示,汽車行業的保守專家通常會有一個誤解:這些白帽黑客(編者注:白帽黑客,就是通過破解來發現問題並提醒系統所有者系統安全漏洞的一幫人,通過這個爭取獎金。)對汽車製造公司而言是不利的。而準確説來,這些黑客可以被稱為安全研究者。之前汽車存在漏洞,而現在這些漏洞已經沒有了,因此特斯拉公司的首席技術官斯特勞貝爾才會確信,特斯拉公司會為科恩工作室的這個小組頒發獎金,對他們所付出的努力進行獎勵。只有安全研究者們在那些心懷惡意的人行動之前找到這些漏洞,汽車才會變得更加安全。
資深汽車行業報道記者波特爾·施密特稱,由於科恩實驗室的遠程破解行為,“每一輛在道路上行駛的特斯拉汽車將變得更加安全一些”。
針對今年發生的科恩實驗室破解特斯拉汽車的事件,美國汽車新聞網站Jalopnik認為,科恩實驗室所演示的汽車破解行為與漏洞所帶來的風險沒有直接關係,特斯拉可以通過軟件來減少汽車被破解的可能性。
Jalopnik網站還提醒車主們在連接互聯網和進行網站訪問的時候也要保持謹慎,就像他們對待其他的裝置一樣。