|
來源:觀察者網 車在開,但后備箱卻忽然打開、后視鏡忽然折疊、車門忽然解鎖———這不是科幻,這幕場景,不久前發生在上海市郊某試驗場地。騰訊科恩實驗室研發人員利用安全漏洞對Model S進行遠程攻擊,實現了對特斯拉駐車狀態和行駛狀態下的遠程控制。特斯拉方面則反應迅速,聲稱已經修補了該漏洞。 科恩實驗室遠程操控特斯拉 本周一(9月19日),科恩實驗室發布了一則視頻,展示了他們是如何遠程進入特斯拉Model S電動汽車的控制區域總線,進而操控車輛的安全控制系統。 研究人員在距離特斯拉Model S 10米遠處通過手提電腦開啟了車輛的轉向燈、天窗,同時還可以對座椅位置進行調整。研究人員還通過車主開啟網絡尋找充電樁的1分鐘時間內控制了車輛的中央顯示屏,顯示科恩實驗室的logo。 
而在行駛狀態下,除了前文提到的后備箱、后視鏡(特斯拉本身無法在行駛時打開后備箱、折疊后視鏡),雨刮器的控制權也被僭越(這應該是對行車安全影響最小的)。需要補充的是,由攻擊者發起的制動,根本不會點亮車尾的剎車燈,因此,這種剎車對高速行駛的車輛非常危險,很容易導致追尾。 科恩實驗室總監呂一平介紹,這次攻擊使用的多個漏洞,都可以作用于最新的特斯拉汽車系統。當然,科恩實驗室在發布攻擊演示之前,也和特斯拉進行了長時間的溝通,這次攻擊視頻并不是“突施冷箭”。 這是一次里程碑式的“失控”。呂一平說,模擬成攻擊者的研究人員事前完全不需要接觸車輛,更不用改動其軟硬件———也就是說,攻擊者理論上可以隨時攻擊任意一輛特斯拉,將其變成“遙控汽車”。 呂一平介紹,特斯拉并不是第一次被黑客黑掉,但是很多人采用的方法都是通過攻擊特斯拉配套 App 實現的。而科恩實驗室這次攻擊可以被稱為“遠程入侵”,因為攻擊路徑不是通過 App,而是直接攻入了汽車模塊。行車系統通過車電網絡(CAN 總線)被控制,而科恩實驗室可以直接拿到 CAN 總線的權限。
而對于特斯拉來說,控制了 CAN 總線,就可以向汽車發送偽造的指令。例如視頻中展示的“遠程剎車”就是這樣。 雷鋒網報道稱,當年美國汽車黑客查理·米勒和克里斯瓦拉塞克,就是因為發現了遠程攻擊 Jeep 的方法,從而在國際上“一戰成名”。因為遠程攻擊意味著攻擊條件變得簡單,一般黑客可以較為容易地發起進攻,從而所有的人都有可能成為“受害對象”。 兩位美國黑客創造了一個歷史:在0人傷亡的情況下,促成了140萬輛車的召回。 特斯拉緊急修復漏洞 對此,特斯拉則表示,在收到到報告的10天內,特斯拉已經采用了無線升級修復了科恩實驗室發現的漏洞,與多數汽車制造商不同的是,特斯拉可以實現車載計算機系統的“空中升級”,因此用戶沒有必要前往經銷商門店去進行軟件升級。 其公告稱:“我們估計,用戶受到的風險非常低,但這并沒有影響我們迅速做出回應。” 特斯拉指出,只有特斯拉網頁瀏覽器正在使用中,以及車輛非常靠近并連接惡意WiFi熱點時,這種攻擊才成為可能。
這并不是中國團隊第一次完成對特斯拉的“攻擊”。2年前,來自上海的信息安全團隊Keen Team就公開演示了對特斯拉的控制,包括在行駛時迫使其倒車。這是特斯拉第一次變成“遙控汽車”,特斯拉官方隨后修復了漏洞,并為發現此的團隊頒發了榮譽獎牌。 不過,那次入侵還不算是“無物理接觸”。此后,全球范圍內,陸續還有其他網絡安全研究者表示完成了對特斯拉的攻擊。 今年8月舉行的Defcon黑客會議上,兩位著名安全專家——來自CloudFlare公司的研究主管馬克·羅杰斯(Marc Rogers)和Lookout公司的聯合創始人凱文·馬哈菲(Kevin Mahaffey)公開了特斯拉Model S車型上存在的數字漏洞。
馬克·羅杰斯(Marc Rogers)和凱文·馬哈菲(Kevin Mahaffey) 他們通過Model S存在的漏洞打開車門、啟動并成功開走,此外還能向Model S發送“自殺”命令,在車輛正常行駛中突然關閉系統引擎讓車輛停下來。 智能汽車網絡安全日益重要 文匯報報道稱,特斯拉被攻擊,顯示網絡安全風險正在向非傳統領域擴張。未來幾年,其他智能網聯汽車或許會成為主流交通工具,高度自動化甚至完全無人駕駛的汽車也有可能大量上路。一旦此類 汽車因為網絡攻擊而失控,后果將非常嚴重,因為惡性后果可能從虛擬空間急劇蔓延到現實世界。 另一方面,雖然有人形容智能汽車是“帶輪子的手機”,但與手機、計算機等傳統互聯網終端相比,汽車的信息安全研究相當滯后。實際上,不僅是汽車,隨著“萬物互聯時代”的逼近,網絡安全的版圖越來越大。
嚴重的威脅與薄弱的安保基礎之間,顯然存在一片讓用戶焦慮、讓安全研究者期待的“空地”。根據國際安全研究慣例,設備廠商保護自己、提升系統安全的最佳選擇,是發動第三方一起發現并消滅系統漏洞。實際上,越來越多人開始意識到,沒有絕對的安全,也不存在找不到漏洞的系統;只要能盡快發現漏洞、搶在惡意攻擊爆發前彌補,就可以實現相對安全。 此前,觀察者網就曾報道,為防止汽車自動駕駛系統所使用的通信網路受黑客攻擊,負責制定汽車國際法規的聯合國機構將在今年11月通過汽車自動駕駛安全標準。新法規的出臺很可能給這個全球汽車生產商近年來都在下大力氣研發的領域帶來商業可行性。 聯合國制定這份標準的目的,是為了阻止自動駕駛汽車被黑客攻擊并控制,該安全標準要求汽車系統探測到黑客入侵的時候針對司機做出警告,并可以采取相關措施切斷攻擊的進行。據悉,該標準通過后,各汽車廠商應該依據新標準采取具體措施。 |
