全球首次!腾讯科恩实验室成功「远程入侵」特斯拉

今天对于特斯拉来说,是具有里程碑意义的一个日子。

腾讯科恩实验室正式宣布,他们以「远程无物理接触」的方式成功入侵了特斯拉汽车,这在全球尚属首次。说简单点:他们的研究人员只需坐在办公室,就能完成对特斯拉的远程控制。

在此之前,特斯拉已经被不少白帽子拿来开刀,但他们的入侵都是以「进入实车,物理接触」或「劫持特斯拉手机 App」等为前提的,而且不足以接触汽车的核心车电网络。这次的「远程入侵」特斯拉又是怎么回事?科恩实验室总监吕一平接受了 GeekCar 的专访。

(本视频中展示的实验结果为专业研究行为,请勿模仿)

远程解锁、刹车,你怕不怕?

这次科恩实验室针对特斯拉的漏洞研究,花了两个月的时间,有多位研究人员参与。他们使用了一辆 2014 款 Model S P85 进行安全研究,同时还在一位朋友刚购买的新款 Model S 75D 上进行复测,两者均安装了最新版本固件,证明该项研究可以影响特斯拉多款车型。

此次攻击通过特斯拉车辆的互联网络实现,这是他们能够实现「远程无物理接触」的前提。理论上,全球范围内的任意一款特斯拉车型都有可能遭遇此类攻击,毕竟大家的系统都是同一套。

入侵成功后,科恩实验室可以将特斯拉的中控大屏和液晶仪表盘更换为实验室 Logo,此时用户任何触摸操作都会失效。当然,该漏洞带来的危害远远不止于这种「小把戏」,他们能做的事大致可以分为两类,分别是车辆停车状态和行进状态的远程控制。

当车辆处于停车状态时,科恩实验室可以远程解锁车辆、打开天窗、转向灯和调节座椅等;当用户在驾车时,他们可以启动雨刷、收起后视镜、打开后备箱等。需要提出的是,正常情况下的特斯拉在行驶过程中,是无法打开后备箱和收起后视镜的。

更危险的是他们可以实现远程刹车,在测试时他们展示了低速情况时的突然刹停。并且在刹车过程中,刹车灯不亮,而车门却是处于解锁状态(危害可想而知)。

至于大家最为关心的特斯拉自动辅助驾驶功能,科恩实验室认为他们的研究成果可以实现对该功能的干扰。要实现对该功能的全面攻击,需要对特斯拉 Autopilot 系统及 CAN 总线进行深入完整的分析,这是科恩实验室后续研究的重点。

面对漏洞,广大特斯拉车主也不用担心,因为科恩实验室已经遵循「负责任的漏洞披露」方式,把这次发现的所有漏洞细节提交给了特斯拉官方,并且官方已经有所回应。对于特斯拉来说,这可能是史上最大规模的一次安全漏洞修复。

说了这么多,你肯定好奇他们是怎么做到的,其实我们也很好奇。科恩实验室的总监吕一平说:「一切尚处于保密阶段,目前不方便透露太多。」

汽车联网,安全先行

在这次和特斯拉的互动中,吕一平非常肯定特斯拉对网络安全的重视程度。他说在他们把漏洞提交给特斯拉官方后,在一个半小时之内就收到了官方回复。

为了保证车辆的网络安全,特斯拉从 Google、微软和苹果等公司挖来了工程师组建安全团队,专门做产品安全分析和漏洞修复等工作。这个团队的负责人是 Chris Evans,他曾领导 Google Project Zero 团队为全球通用软件带来了很大的安全提升。

当越来越多的车开始联网,搭载越来越复杂的车载系统时,随之而来的就是网络安全问题。特斯拉在所有车企中算是对网络安全最为重视的一家公司,但依然被挖出了严重漏洞。其实目前很多传统车企尚未组建专门的网络安全团队,并且车载系统非常容易受到攻击。

车企面对针对联网汽车攻击带来的软件漏洞修复,只能通过召回或者 OTA 升级来解决。虽然 OTA 升级比召回成本更低,但使用 OTA 技术就意味着多了一个可以入侵的突破口,是一把双刃剑。

至于那些新进入的互联网造车团队,想要造出车身和网络都安全的汽车,面临的挑战就更大了。目前汽车安全防护属于软硬皆施,随着互联网汽车的发展,软件安全变得越来越重要,而这次攻破特斯拉的科恩实验室正是一家国际知名安全团队。

如今的汽车网络安全,像互联网网络安全一样有攻有守,但汽车网络安全更关乎人身安全。希望那些想要造「智能汽车」厂商,已经做好了准备。

极客网企业会员

免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。

2016-09-22
全球首次!腾讯科恩实验室成功「远程入侵」特斯拉
今天对于特斯拉来说,是具有里程碑意义的一个日子。腾讯科恩实验室正式宣布,他们以「远程无物理接触」的方式成功入侵了特斯拉汽车,这在全

长按扫码 阅读全文