1. 首页
  2. 大牛说
  3. 腾讯科恩实验室再度成功破解特斯拉,这次轮到了Model X

腾讯科恩实验室再度成功破解特斯拉,这次轮到了Model X

7 月底,在特斯拉举行 Model 3 的盛大交付仪式的同时,腾讯科恩实验室在世界黑客大会和官方博客上同步了一个消息,科恩实验室在 2017 年又一次实现了对特斯拉的远程攻击,只是这一次,视频中的车型换成了 Model X

在媒体大肆报道 Model 3 的时候,好像没什么人关注到这件事情。这个时间点选得太微妙了。说回正题,现在的汽车趋势越来越科技化,网联化,由于汽车关系到生命安全的重大问题,汽车的信息安全问题必须值得重视。

以下转自科恩实验室发布的原文:

继 2016 年利用特斯拉多个高危安全漏洞实现对特斯拉的无物理接触远程攻击,腾讯科恩实验室 2017 年再次发现多个高危安全漏洞并实现了对特斯拉的无物理接触远程攻击,能够在驻车模式和行驶模式下对特斯拉进行任意远程操控。

2017 年的特斯拉研究,有几大技术亮点。第一,实现了和 2016 年一样的完整攻击效果,最终入侵特斯拉车电网络实现任意远程操控。第二,本次研究中在特斯拉多个模块发现 0Day ,目前科恩实验室正在和特斯拉及相关厂商协商漏洞的国际 CVE 编号。第三,特斯拉为了提升车辆安全性,在 2016 年 9 月增加了“代码签名”安全机制,对所有 FOTA 升级固件进行强制完整性校验,本次研究突破了该“代码签名”机制。第四,本次研究展示中的“特斯拉灯光秀”效果,涉及对特斯拉多个 ECU 的远程协同操控,体现了科恩实验室对车电网络中各 ECU 模块的安全研究能力。

2017 年 6 月底,科恩实验室已经按照“负责任的漏洞披露”流程,将本轮研究中发现的所有安全漏洞技术细节报告给特斯拉美国产品安全团队。特斯拉产品安全团队快速确认了漏洞有效性和危害,并于 7 月初进行了快速修复并通过 FOTA 推送了升级系统固件。本次研究中发现的问题影响特斯拉多款已售和在售车型,根据特斯拉安全团队的报告,目前全球范围内绝大部分特斯拉车辆已经通过 FOTA 成功升级系统固件,确保了特斯拉用户的行车安全。我们再次感谢特斯拉安全团队的快速响应和快速修复。

科恩实验室提醒特斯拉车主,请确认您的爱车已经升级到 8.1 (17.26.0) 或以上版本。如果现有版本低于该版本,请尽快升级,确保安全漏洞得到及时修复,避免行车安全问题。

本次研究可以实现的无物理接触远程控制效果,请参考以下视频。科恩实验室提醒,本视频中展示的实验结果为专业研究行为,请勿模仿。

最后转一份科恩实验室总监吕一平的看法,来源:36 氪。

我们必须给特斯拉一个比较客观的评价,虽然我们远程攻破了特斯拉,但是根据我们对特斯拉的研究,特斯拉目前在车企里面,在信息安全技术、包括人力上的投入可能是全球汽车行业里面最多的一个。他们目前已经在汽车上实现了一些安全防护的技术,也是全球领先的。

从国内 OEM 的角度来看,我们现在看到一个最大的问题是什么,他们在信息安全知识、能力和经验方面的积累都很弱。我们其实做了很多的用户教育工作,和行业教育工作,我们要告诉他们,在去年我们破解特斯拉之前,这个教育工作很难做,大家都觉得说问题会发生吗?你们说的威胁能实现吗?但是,去年我们做了特斯拉的研究以后,我们展示的视频可以做远程刹车,远程控制汽车的时候大家才意识到原来这件事情是可以做到的。

所以说,我觉得这个用户教育工作已经花了很多力气了。而且你会看到我们在跟很多车企交流的时候,大家对信息安全的理解,到底要怎么去投资在信息安全领域,去加强我的能力,去建立我的信息安全体系——特斯拉这方面的经验和知识都明显不足,所以说,我觉得在信息安全能力补齐这个方面还是要做特别多的工作。

第二,传统车企对供应商体系的依赖度非常高。有很多信息安全的问题其实都涉及到汽车的供应商体系的模块。对于车企来讲,怎么更好管理他的供应商,能够提供更安全的、更可靠的模块,这个是国内 OEM 厂商需要去关注和做好的点。

第三,多、透明。大家讲汽车(信息安全)研究很贵,那是不是能够更开放一点,引入专业的信息安全团队和公司来做合作,能够提供目标车辆让大家做分析和研究,然后帮助发现更多安全问题,这个也希望是国内车厂做得更好的,能够更开放一点。

来源:第一电动网

作者:42号车库

本文地址:https://www.d1ev.com/kol/54746

返回第一电动网首页 >

收藏
61
  • 分享到:
发表评论
新闻推荐
大牛作者

42号车库

做最有见地的未来汽车报道,微信、微博搜索「42号车库」关注我们。

  • 230
    文章
  • 13054
    获赞
阅读更多文章
热文榜
日排行
周排行
第一电动网官方微信

反馈和建议 在线回复

您的询价信息
已经成功提交我们稍后会联系您进行报价!

第一电动网
Hello world!
-->