智能網聯汽車的安全性,一直深受關注。
前不久場主看到了一篇報道,19歲「黑客」連續破解25輛特斯拉:遠端控制門窗、燈光、音樂,還能直接開走。
細思極恐,不過好在特斯拉在接到報告之後,已經推出更新檔修複了。
分享下這次破解事件的始末~
從事網絡安全研究的 19 歲德國男孩 David Colombo 最近有一個大發現。
他在為一家法國公司進行安全審查時注意到,該公司網絡中的一個軟體程式洩露了公司 CTO 所駕駛的特斯拉的所有資料,包括這輛車的駕駛記錄和當時的精确位置。
但這還沒完,随着調查的深入,Colombo 意識到,他可以向使用該程式的特斯拉推送指令。這就使得他能夠劫持車上的一些功能,包括打開和關閉車門 / 車窗、調高音樂、播放視訊、開啟無鑰匙駕駛和禁用安全功能等。但是,他無法控制汽車的轉向、制動等操作。
Colombo 的發現在推特上引發了熱烈讨論。在物聯網裝置無處不在的今天,網絡安全問題牽動着每一個人的神經。
在 1 月 11 日釋出的推特上,Colombo 表示,他已經可以向13個國家的至少25輛汽車上推送指令。後續的分析表明,這一數字可以擴大到數百輛。
值得注意的是,這些缺陷并不存在于特斯拉的汽車或特斯拉的網絡上,而是存在于一款可以收集和分析自己汽車資料的開源軟體上。
在發現這些問題之後,Colombo 聯系了特斯拉的安全團隊。他向該團隊提供了截圖和其他檔案,詳細解釋了他的發現,并确定了受影響的第三方軟體的制造商,但未向媒體公布細節。該團隊随即開始了調查。美國國家公路交通安全管理局發言人也表示,已就此事與特斯拉保持聯系,該機構的網絡安全技術團隊将協助評估和審查資訊。
由于 Colombo 并沒有提供該軟體的詳細資訊,是以推特使用者正在做出自己的猜測。比如有很多人就将特斯拉數千個認證 token 過期的事情與該事件聯系在一起。
但特斯拉解釋說,Colombo 所報告的漏洞涉及另一個平台。由于該平台使用了 V2 Tesla token,而這些 token 都已經過期了,是以沒有 TezLab 使用者因為 David 文章中所說的漏洞而面臨風險。
Teslascope 創始人 Tyler Corsair 也在推特上澄清道:「Colombo 提到的那些使用者使用了一個名為 Teslamate 的開源項目,然後錯誤地對其進行了配置(部分原因是開發人員設定了錯誤的預設配置),是以任何人都可以遠端通路它。」在接到報告之後,他們已經推出了更新檔。
10 歲開始程式設計,15 歲創辦公司
Colombo 專攻網絡安全方向,他聲稱「在 10 歲時編寫了第一段代碼」,他的公司目标是「幫助每個企業免受網絡空間中不斷發展的威脅行為者的影響」。
母親在他 13 歲那年患上了乳腺癌,并于次年去世,他選擇進一步沉浸在程式設計中,以分散自己的注意力。
厭倦了學校的節奏之後,他和父親在自己 15 歲那年成功申請到特批,允許他每周隻去兩天學校,剩下的時間用來擴充網絡安全技能,并建立了一家名為 Colombo Technology 的咨詢公司。
「我不得不學習拉丁文和文學分析,然後我就在想,為什麼?我可以專注安全方面的東西保護公司,」他說,并補充說他認為學校「是在浪費時間」。
Colombo 說,他參與了幾個「漏洞賞金」計劃,一些公司會向獨立安全研究人員懸賞發現産品中弱點的計劃,并向幫助他們評估安全性的公司尋求咨詢。
網聯汽車有多脆弱?
當然,這并不是網絡安全人員第一次披露涉及網聯汽車的潛在嚴重安全漏洞。2015 年,兩名安全研究人員披露了一次攻擊,《連線》雜志的一名記者在美國的高速公路上以每小時 70 英裡的速度駕駛這輛車時,他們遠端控制了一輛吉普切諾基并關停了其引擎。由于連接配接網際網路的資訊娛樂系統存在缺陷,該汽車制造商召回了 140 萬輛汽車和卡車,這是網絡安全問題引發的第一次汽車召回事件。
從那時起,研究人員開始披露他們發現的許多其他黑客風險,這些風險越來越多地來自汽車的複雜電子裝置之中。
Jeep 黑客事件曝光後不久,另一組研究人員披露了特斯拉 Model S 中的軟體缺陷,這些缺陷可能使黑客能夠關閉行駛中的汽車引擎。研究人員與特斯拉協調後,後者釋出了軟體修複程式。
2020 年,特斯拉 Model X 的自動駕駛儀多次被黑客入侵。在一個研究案例中,以色列本古裡安大學的研究人員通過在道路、牆壁或标志上閃爍「幻影」圖像來欺騙汽車,使其意外刹車或轉向錯誤的方向。
幾個月後,比利時魯汶大學的研究員 Lennert Wouters 在 90 秒内「偷走了」一輛特斯拉 Model X。
去年秋天的 2021 世界新能源汽車大會上,馬斯克曾承諾,他将與監管機構合作,確定電動汽車擁有者的個人資料免受黑客威脅。
「随着自動駕駛技術的快速發展,車輛的資料安全比以往任何時候都受到更多公衆的關注,」馬斯克表示。到 2025 年,估計将有 4.7 億輛汽車連接配接到計算機化的資料庫,這使它們成為網絡犯罪分子的成熟目标。
Colombo 表示,在披露自己的發現之前,他聯系到了德國、美國和愛爾蘭的三位特斯拉車主。他在 Twitter 上展示了一段私人對話的截圖,其中一位受影響的車主允許他遠端按汽車喇叭,以确認漏洞的存在。
在未能找到大多數其他資料被洩露的特斯拉車主的聯系資訊後,他決定公布自己的發現。
「我想向車主提個醒,這就是初衷,」他說。「因為如果我不這樣做,也許有惡意的人會發現那些系統漏洞,并做出一些目的不良的事情。想象一下,有人可以控制你的特斯拉,打開車門,然後開車兜風。」
轉自 | 機器之心 參考連結:https://cacm.acm.org/news/257853-teen-cyber-prodigy-stumbled-onto-flaw-letting-him-hijack-teslas/fulltext
-END-
場主福利又來啦!
抽獎送書
限量3本
《元宇宙》
劃重點!
▼碼上抽獎▼
免費參與
3.9 12:00準時開獎
很想要,立刻擁有
上京東搜尋書名,滿100減50~