【導讀】最近,一位家住德國的19歲黑客突然火了!他在推特上表示自己可以遙控超過25輛特斯拉。這個小夥子可不簡單,10歲開始寫代碼,高中時一周隻去上兩天學,而現在已經創業當老闆了。
一個風和日麗的下午,你開着一輛嶄新的特斯拉行駛在高速路上。
駕駛輔助完美地保持着車速,全身放松的你正在享受這美好的駕駛體驗。
突然,車内的音響開始以爆炸般的音量瘋狂輸出Rick Astley的「Never Gonna Give You Up」。
你吓了一跳,驚慌失措地想要靠邊停車。
這時候,車窗突然降了下來,車門也自己彈開,車燈像着了魔一樣閃個不停。
如果這不是一場噩夢,那麼幕後黑手可能是一位19歲的小夥兒。
和你一樣的倒黴蛋,全世界可能還有20幾個,而且還都開着特斯拉。
我現在可以在車主不知情的情況下對13個國家的25輛以上的特斯拉進行遠端控制。這包括禁用哨兵模式,打開車門/車窗,甚至啟動無鑰匙駕駛。
你的特斯拉已經被我「控制」了
前兩天,一位來自德國的19歲年輕黑客突然發推表示,自己已經實作了10個國家的20多輛特斯拉的遠端控制。
随後,這個數字很快就增加到了13個國家和超過25輛特斯拉。
自稱是資訊技術安全專家的David Colombo表示,他在一個第三方軟體中發現了缺陷,可以讓黑客遠端控制車輛的一些功能,比如,解鎖車門、控制窗戶,或者在沒有鑰匙的情況下啟動汽車,并關閉特斯拉的安全系統。
不過,使用這個軟體的特斯拉車主并不是很多。
(圖文無關)
在接受彭博社的采訪時,Colombo提供了他的研究的截圖和其他檔案,确定了軟體的制造商,并提供了漏洞的細節。
Colombo表示,這個問題涉及軟體以不安全的方式存儲敏感資訊,而這些資訊則可以将汽車與程式相連。
當黑客竊取之後,就可以向汽車發送各種指令,這是非常的危險。
此外,他還向彭博社展示了通過推特進行的私人對話的截圖,其中一位車主允許他遠端按動他的汽車的喇叭。
不過,Colombo拒絕公布具體細節,因為受影響的組織還沒有對應的修複方案。
Colombo自稱是特斯拉的粉絲,并表示自己在10歲的時候就已經開始寫代碼了。
由于對高中課程十分失望,他的父親向德國當局申請,讓他每周上兩天學,其餘時間用來擴充他的網絡安全技能。
此外,他還自己開了一家名為Colombo科技的公司。
目前,Colombo表示特斯拉的安全團隊成員已經與自己進行了接觸,并将着手展開調查。
需要澄清的一點是,Colombo并不能實作真正的「遠端控制」,也就是遠端駕駛這些特斯拉。
不過,他依然可以在車主開車的時候突然把音量拉滿吓「死」他們。
雖然不能遠端駕駛,但是可以根據定位在現實中找到其中的某一輛特斯拉,然後直接拉開門把車開走。
這麼看來,但凡是接入網絡的汽車、冰箱還是掃地機器人等等,大機率都會面臨被「黑」的風險。
時不時就會被「黑」的特斯拉
實際上,即便不算上Colombo,這也早就不是黑客第一次實作遠端通路特斯拉汽車了。
2020年11月,一位名叫 Lennert Wouters 的英國安全研究人員表示,通過帶有藍牙信号的計算機連接配接到特斯拉 Model X 的遙控鑰匙,可以重寫安全固件,查詢密鑰卡的安全晶片,生成解鎖代碼。
原因在于特斯拉軟體系統的一個OTA固件更新漏洞。
這些密鑰卡沒有用于固件更新的「代碼簽名」,如果車主通過藍牙獲得無線更新,系統無法确認固件代碼是否是「來自特斯拉的不可僞造的加密簽名」,進而導緻固件被錯誤地重寫。
Wouters表示,如果一切順利,隻需不到90秒,就能在沒有鑰匙的情況下偷走一輛Model X。
實際上,Wouters此前就向特斯拉報告了這個bug,後者在系統更新中釋出更新檔,修複了漏洞。
無獨有偶。去年,又有兩位安全研究人員表示,可以使用無人機遠端入侵特斯拉的資訊娛樂系統。入侵成功之後就可以遠端解鎖車門、改變座位位置、播放音樂等。
而且,為了證明不是吹牛,二人還專門拍了一段視訊,并拿到了Cansecwest 黑客大會上做了展示。
在視訊示範中,無人機在車頂隻盤旋了幾秒鐘,特斯拉的兩個車門就很聽話打開了。
為了應對安全漏洞,特斯拉在釋出程式更新檔之外,還開設了一個報告漏洞的「賞金計劃」,經過預先準許的安全人員可以注冊車輛進行安全測試。
如果在測試中發現符合條件的漏洞并及時送出報告,最高可以獲得15000美元的報酬。
不過,目前尚不清楚Colombo在推特上釋出的消息是否符合特斯拉的獎勵規定。
40多萬輛車剛被召回,又遭車管部門調查
最近一段時間,特斯拉在駕駛安全方面事件頻發,不得不應對大規模召回和加州車管部門的調查。
最近一次的大規模召回涉及356309輛Model 3和119009輛Model S ,原因是車輛的後視攝像頭和前引擎蓋存在潛在的故障風險。
據報道,這次共需召回 475318 輛受影響的車輛,大約相當于特斯拉去年傳遞給客戶的車輛總數。
美國國家公路交通安全管理局(NHTSA)在兩份召回警告中描述了兩款車的具體問題。
當使用者開關後備箱時,Model 3車輛上的後視攝像頭可能會受損,導緻顯示屏不顯示,增加撞車風險。
Model S的問題是前引擎蓋的鎖未對準,可能導緻引擎蓋無法正常鎖閉,會突然打開阻擋駕駛員視線,增加撞車風險。
後視攝像頭問題涉及2017-2020年生産的Model 3,而前引擎蓋鎖的問題涉及2014-2021年生産的Model S。
而且,與之前隻通過無線更新就能修複的車輛不同,此次召回的部分車輛必須在車廠進行實體維修。
前幾天,特斯拉的「全自動駕駛」(FSD) 測試版在加州也被車管部門重新審查。
據報道,加州機動車管理局(DMV)正在審查該功能,以确定這個說法是否符合「自動駕駛」的法律定義。
對于特斯拉來說,這件事可能影響不小。這将決定特斯拉的車是否要受到加州關于自動駕駛汽車法律的限制。
DMV發言人表示,「我們已通知特斯拉,将啟動對其車輛技術的進一步審查,如果這些技術和功能符合加州法律法規對自動駕駛汽車的定義,DMV 将采取措施,確定特斯拉在适當的自動駕駛汽車許可下營運。」
目前,加州 DMV 負責監督美國最大的自動駕駛汽車測試計劃,有目前 60 多家公司獲準在公共道路上營運測試車輛。隻有少數獲準在沒有安全駕駛員的情況下操作全自動駕駛汽車,而獲準将車輛用于商業用途的則更少。
參考資料:
https://www.bloomberg.com/news/articles/2022-01-12/teen-hacker-claims-to-have-taken-control-of-25-teslas-worldwide
https://gizmodo.com/teen-security-researcher-claims-he-can-remotely-access-1848345072
https://www.theverge.com/2022/1/12/22880305/tesla-fsd-beta-california-dmv-autonomous-vehicle-letter