據《今日美國》報道,來自中國安全研究人員第二次成功破解了特斯拉Model X系統。研究人員能夠遠端開啟汽車的制動器,車門和汽車後備箱也能夠被開啟和關閉。不僅如此,研究人員還能讓車燈閃爍,車內廣播播放音樂。他們把這一破解行為稱之為“未經許可的聖誕表演。”
破解過程:利用汽車網路瀏覽器漏洞傳送惡意軟體
報道指出,這一破解過程比較複雜,研究者們利用汽車網路瀏覽器中存在的一系列漏洞,並藉此傳送惡意軟體。他們甚至還能夠透過無線區域網(Wi-Fi)和蜂窩連線(移動資料連線)來遠端控制汽車。
來自中國科技巨頭騰訊公司的科恩實驗室總監呂一平(Samuel Lv)說,今年六月,研究者們將自己的發現告訴了特斯拉公司,該公司在兩週之內修補了這些漏洞。
科恩實驗室汽車破解小組首席研究員聶森說:“我們向特斯拉公司通報了去年發現的漏洞,他們已經對此進行了修復。今年,我們在研究中發現了新的漏洞,而且我們能夠對汽車進行同樣的遠端控制。”在科恩實驗室的一次安全研究員會議上,他和他的同事展示了這項研究。
聶森強調說,這項工作是複雜的,它不容易被複制。他還說,研究人員並不相信特斯拉原本就比其他汽車更容易攻破。
查理·米勒是一名駭客,2015年查理名聲大噪,因為他和另一名研究者克里斯·瓦拉塞克一起攻破了一輛吉普車。上週四,查理·米勒在“黑帽駭客大會”上參加了該小組的展示。
他說:“世界上只有三個小組能夠成功地將汽車破解。一個來自2010年華盛頓大學的成功案例,然後是我和克里斯,而現在來自中國的團隊。他們已經做過兩次了。”
報道稱,聶森帶領的小組是騰訊公司的一部分。2016年,騰訊開始增加了諮詢和安全研究,並啟動了聶森帶領的以汽車安全為重點的小組。該小組和中國的許多公司進行合作。這些公司為世界汽車工業生產零部件和系統。
呂一平表示:“很多原始裝置製造商沒有解決網路安全問題的知識或背景。我們與他們協商,幫助他們評估汽車連線模組的安全性”。
連續兩次 遠端干預汽車剎車系統
報道稱,這實際上已經是該實驗室連續第二年成功地“侵入”特斯拉,並遠端地干預其剎車系統。
2016年9月,科恩實驗室第一次破解了特斯拉的Model S。科恩實驗室的研究人員當時以類似的方式進入了特斯拉汽車的剎車系統。隨後特斯拉公司釋出瞭解決方案,以加強汽車的安全性。特斯拉公司當時迅速釋出了一個更新以及更多的有關漏洞修復的細節。
在攻破特斯拉汽車之後,科恩實驗室釋出的一段8分鐘左右的影片,該影片顯示,研究人員設法演示了各種破解汽車的行為。當汽車車停了之後,這些研究人員演示了他們可以控制汽車天窗、轉向燈、座位位置、所有的顯示器以及門鎖系統。
此外,他們還做了演示,當汽車在行駛的時候,他們可以啟動擋風玻璃刮水器,摺疊側視鏡,並可以開啟汽車後備箱。他們還演示了駭客可以在很遠的距離之外啟動制動器。
科恩實驗室的研究人員表示,他們所展示的侵入行為都是有可能發生的,因為一系列的漏洞是連在一起的。
科恩實驗室透過特斯拉汽車公司旗下網站的“有獎捉蟲計劃”(bug bounty program)將這些漏洞向他們公開了。為了提高汽車的安全性,特斯拉公司早在2014年便做出承諾,任何成功破解特斯拉汽車的駭客都可以得到10000美元的獎勵。
科恩實驗室表示,特斯拉已經證實了這些缺陷的存在,並將努力解決這些問題。幸運的是,特斯拉公司可以透過空中下載技術釋出韌體更新,這就意味著與其他汽車製造公司不同的是,特斯拉公司不需要透過召回汽車來安裝安全補丁。
據科技網站Electrek報道,在這一破解事件發生後,特斯拉汽車製造公司很快透過作業系統和瀏覽器對這兩個漏洞進行了修復。
公司回應 並沒有車主受影響 鼓勵這些研究
特斯拉公司在一份宣告中表示,他們鼓勵這種型別的研究,因為這樣可以防止潛在的問題發生。該宣告稱,這種漏洞對客戶造成的風險非常低,特斯拉公司還沒有發現任何一個車主受到影響。
據《安全週末》新聞報道,特斯拉的發言人還補充說:“這種演示並不容易做到,這些研究人員克服了我們最近在改進系統時所造成的重大挑戰。為了讓其他人受到這種影響,他們不得不使用他們汽車上的網路瀏覽器,並透過一系列不太可能的條件來發送惡意內容。我們對做這種演示的研究小組表示讚揚,而且我們期待繼續與他們以及其他人合作,這樣我們就可以推進這種研究。”
報道稱,過去,特斯拉的Model S, Model X 和Model 3也曾遭破解,特斯拉的執行長埃隆·馬斯克對此表示關心。本月早些時候,在一次會議上,馬斯克表示特斯拉正在做出努力,以確保汽車不受網際網路“入侵”問題的影響。他還表示,防止汽車被破解將成為公司的首要安全任務之一。
這位電動汽車大亨還開玩笑說,也許有一天,駭客會讓特斯拉的無人駕駛汽車行駛到羅得島上去。
馬斯克說:“我認為無人駕駛汽車最令人關注的問題之一是有人會實現全面的入侵。 如果有人說他能夠破解特斯拉所有的無人駕駛汽車,他們會說把它們全部送到羅得島去。這對特斯拉來說將是一種終結,羅得島上的很多人都會憤怒。”
分析解讀 車主在連線網際網路和網站訪問時需謹慎
對於2016年9月科恩工作室破解特斯拉汽車的事件,科技網站Electrek表示,汽車行業的保守專家通常會有一個誤解:這些白帽駭客(編者注:白帽駭客,就是透過破解來發現問題並提醒系統所有者系統安全漏洞的一幫人,透過這個爭取獎金。)對汽車製造公司而言是不利的。而準確說來,這些駭客可以被稱為安全研究者。之前汽車存在漏洞,而現在這些漏洞已經沒有了,因此特斯拉公司的首席技術官斯特勞貝爾才會確信,特斯拉公司會為科恩工作室的這個小組頒發獎金,對他們所付出的努力進行獎勵。只有安全研究者們在那些心懷惡意的人行動之前找到這些漏洞,汽車才會變得更加安全。
資深汽車行業報道記者波特爾·施密特稱,由於科恩實驗室的遠端破解行為,“每一輛在道路上行駛的特斯拉汽車將變得更加安全一些”。
針對今年發生的科恩實驗室破解特斯拉汽車的事件,美國汽車新聞網站Jalopnik認為,科恩實驗室所演示的汽車破解行為與漏洞所帶來的風險沒有直接關係,特斯拉可以透過軟體來減少汽車被破解的可能性。
Jalopnik網站還提醒車主們在連線網際網路和進行網站訪問的時候也要保持謹慎,就像他們對待其他的裝置一樣。