據法制晚報 8 月 1 日援引《今日美國》消息報道,來自中國安全研究人員第二次成功破解瞭特斯拉 Model X 系統。
研究人員能夠遠程開啟汽車的制動器,車門和汽車後備箱也能夠被打開和關閉。
不僅如此,研究人員還能讓車燈閃爍,車內廣播播放音樂。他們把這一破解行為稱之為 " 未經許可的聖誕表演。"
特斯拉 Model X 系統
破解過程:利用汽車網絡瀏覽器漏洞發送惡意軟件
報道指出,這一破解過程比較復雜,研究者們利用汽車網絡瀏覽器中存在的一系列漏洞,並借此發送惡意軟件。他們甚至還能夠通過無線局域網(Wi-Fi)和蜂窩連接(移動數據連接)來遠程控制汽車。
來自中國科技巨頭騰訊公司的科恩實驗室總監呂一平(Samuel Lv)說,今年六月,研究者們將自己的發現告訴瞭特斯拉公司,該公司在兩周之內修補瞭這些漏洞。
科恩實驗室汽車破解小組首席研究員聶森說:" 我們向特斯拉公司通報瞭去年發現的漏洞,他們已經對此進行瞭修復。今年,我們在研究中發現瞭新的漏洞,而且我們能夠對汽車進行同樣的遠程控制。" 在科恩實驗室的一次安全研究員會議上,他和他的同事展示瞭這項研究。
聶森強調說,這項工作是復雜的,它不容易被復制。他還說,研究人員並不相信特斯拉原本就比其他汽車更容易攻破。
查理 · 米勒是一名黑客,2015 年查理名聲大噪,因為他和另一名研究者克裡斯 · 瓦拉塞克一起攻破瞭一輛吉普車。上周四,查理 · 米勒在 " 黑帽駭客大會 " 上參加瞭該小組的展示。
他說:" 世界上隻有三個小組能夠成功地將汽車破解。一個來自 2010 年華盛頓大學的成功案例,然後是我和克裡斯,而現在來自中國的團隊。他們已經做過兩次瞭。"
報道稱,聶森帶領的小組是騰訊公司的一部分。2016 年,騰訊開始增加瞭咨詢和安全研究,並啟動瞭聶森帶領的以汽車安全為重點的小組。該小組和中國的許多公司進行合作。這些公司為世界汽車工業生產零部件和系統。
呂一平表示:" 很多原始設備制造商沒有解決網絡安全問題的知識或背景。我們與他們協商,幫助他們評估汽車連接模塊的安全性 "。
騰訊公司科恩實驗室成員(資料圖)
連續兩次遠程幹預汽車剎車系統
報道稱,這實際上已經是該實驗室連續第二年成功地 " 侵入 " 特斯拉,並遠程地幹預其剎車系統。
2016 年 9 月,科恩實驗室第一次破解瞭特斯拉的 Model S。科恩實驗室的研究人員當時以類似的方式進入瞭特斯拉汽車的剎車系統。
隨後特斯拉公司發佈瞭解決方案,以加強汽車的安全性。特斯拉公司當時迅速發佈瞭一個更新以及更多的有關漏洞修復的細節。
在攻破特斯拉汽車之後,科恩實驗室發佈的一段 8 分鐘左右的視頻,該視頻顯示,研究人員設法演示瞭各種破解汽車的行為。
當汽車車停瞭之後,這些研究人員演示瞭他們可以控制汽車天窗、轉向燈、座位位置、所有的顯示器以及門鎖系統。
此外,他們還做瞭演示,當汽車在行駛的時候,他們可以啟動擋風玻璃刮水器,折疊側視鏡,並可以打開汽車後備箱。他們還演示瞭黑客可以在很遠的距離之外啟動制動器。
科恩實驗室的研究人員表示,他們所展示的侵入行為都是有可能發生的,因為一系列的漏洞是連在一起的。
科恩實驗室通過特斯拉汽車公司旗下網站的 " 有獎捉蟲計劃 "(bug bounty program)將這些漏洞向他們公開瞭。
為瞭提高汽車的安全性,特斯拉公司早在 2014 年便做出承諾,任何成功破解特斯拉汽車的黑客都可以得到 10000 美元的獎勵。
科恩實驗室表示,特斯拉已經證實瞭這些缺陷的存在,並將努力解決這些問題。幸運的是,特斯拉公司可以通過空中下載技術發佈固件更新,這就意味著與其他汽車制造公司不同的是,特斯拉公司不需要通過召回汽車來安裝安全補丁。
據科技網站 Electrek 報道,在這一破解事件發生後,特斯拉汽車制造公司很快通過操作系統和瀏覽器對這兩個漏洞進行瞭修復。
公司回應並沒有車主受影響鼓勵這些研究
特斯拉公司在一份聲明中表示,他們鼓勵這種類型的研究,因為這樣可以防止潛在的問題發生。該聲明稱,這種漏洞對客戶造成的風險非常低,特斯拉公司還沒有發現任何一個車主受到影響。
據《安全周末》新聞報道,特斯拉的發言人還補充說:" 這種演示並不容易做到,這些研究人員克服瞭我們最近在改進系統時所造成的重大挑戰。
為瞭讓其他人受到這種影響,他們不得不使用他們汽車上的網絡瀏覽器,並通過一系列不太可能的條件來發送惡意內容。我們對做這種演示的研究小組表示贊揚,而且我們期待繼續與他們以及其他人合作,這樣我們就可以推進這種研究。"
報道稱,過去,特斯拉的 Model S, Model X 和 Model 3 也曾遭破解,特斯拉的首席執行官埃隆 · 馬斯克對此表示關心。
本月早些時候,在一次會議上,馬斯克表示特斯拉正在做出努力,以確保汽車不受互聯網 " 入侵 " 問題的影響。他還表示,防止汽車被破解將成為公司的首要安全任務之一。
這位電動汽車大亨還開玩笑說,也許有一天,黑客會讓特斯拉的無人駕駛汽車行駛到羅得島上去。
馬斯克說:" 我認為無人駕駛汽車最令人關註的問題之一是有人會實現全面的入侵。 如果有人說他能夠破解特斯拉所有的無人駕駛汽車,他們會說把它們全部送到羅得島去。這對特斯拉來說將是一種終結,羅得島上的很多人都會憤怒。"
車主在連接互聯網和網站訪問時需謹慎
對於 2016 年 9 月科恩工作室破解特斯拉汽車的事件,科技網站 Electrek 表示,汽車行業的保守專傢通常會有一個誤解:這些白帽黑客(編者註:白帽黑客,就是通過破解來發現問題並提醒系統所有者系統安全漏洞的一幫人,通過這個爭取獎金)對汽車制造公司而言是不利的。而準確說來,這些黑客可以被稱為安全研究者。
之前汽車存在漏洞,而現在這些漏洞已經沒有瞭,因此特斯拉公司的首席技術官斯特勞貝爾才會確信,特斯拉公司會為科恩工作室的這個小組頒發獎金,對他們所付出的努力進行獎勵。
隻有安全研究者們在那些心懷惡意的人行動之前找到這些漏洞,汽車才會變得更加安全。
資深汽車行業報道記者波特爾 · 施密特稱,由於科恩實驗室的遠程破解行為," 每一輛在道路上行駛的特斯拉汽車將變得更加安全一些 "。
針對今年發生的科恩實驗室破解特斯拉汽車的事件,美國汽車新聞網站 Jalopnik 認為,科恩實驗室所演示的汽車破解行為與漏洞所帶來的風險沒有直接關系,特斯拉可以通過軟件來減少汽車被破解的可能性。
Jalopnik 網站還提醒車主們在連接互聯網和進行網站訪問的時候也要保持謹慎,就像他們對待其他的裝置一樣。(法制晚報 / 記者 黎史翔 實習生舒靜)