EEWorld 电子工程世界

文章数:8266 被阅读:5196479

账号入驻

19岁少年一口气“黑”了25辆特斯拉!“云偷车”要成为可能?

最新更新时间:2022-01-15
    阅读数:

▲ 更多精彩内容 请点击上方蓝字关注我们吧!


一个风和日丽的下午,你开着一辆崭新的特斯拉行驶在高速路上。
 
驾驶辅助完美地保持着车速,全身放松的你正在享受这美好的驾驶体验。
 
突然,车内的音响开始以爆炸般的音量疯狂输出Rick Astley的「Never Gonna Give You Up」。
 
 
你吓了一跳,惊慌失措地想要靠边停车。
 
这时候,车窗突然降了下来,车门也自己弹开,车灯像着了魔一样闪个不停。
 
如果这不是一场噩梦,那么幕后黑手可能是一位19岁的小伙儿。
 
和你一样的倒霉蛋,全世界可能还有20几个,而且还都开着特斯拉。
 
我现在可以在车主不知情的情况下对13个国家的25辆以上的特斯拉进行远程控制。这包括禁用哨兵模式,打开车门/车窗,甚至启动无钥匙驾驶。


你的特斯拉已经被我「控制」了


前两天,一位来自德国的19岁年轻黑客突然发推表示,自己已经实现了10个国家的20多辆特斯拉的远程控制。
 
随后,这个数字很快就增加到了13个国家和超过25辆特斯拉。
 
 
自称是信息技术安全专家的David Colombo表示,他在一个第三方软件中发现了缺陷,可以让黑客远程控制车辆的一些功能,比如,解锁车门、控制窗户,或者在没有钥匙的情况下启动汽车,并关闭特斯拉的安全系统。
 
不过,使用这个软件的特斯拉车主并不是很多。
 
(图文无关)
 
在接受彭博社的采访时,Colombo提供了他的研究的截图和其他文件,确定了软件的制造商,并提供了漏洞的细节。
 
Colombo表示,这个问题涉及软件以不安全的方式存储敏感信息,而这些信息则可以将汽车与程序相连。
 
当黑客窃取之后,就可以向汽车发送各种指令,这是非常的危险。
 
此外,他还向彭博社展示了通过推特进行的私人对话的截图,其中一位车主允许他远程按动他的汽车的喇叭。

不过,Colombo拒绝公布具体细节,因为受影响的组织还没有对应的修复方案。
 
 
Colombo自称是特斯拉的粉丝,并表示自己在10岁的时候就已经开始写代码了。
 
由于对高中课程十分失望,他的父亲向德国当局申请,让他每周上两天学,其余时间用来扩展他的网络安全技能。
 
此外,他还自己开了一家名为Colombo科技的公司。
 
 
目前,Colombo表示特斯拉的安全团队成员已经与自己进行了接触,并将着手展开调查。
 
 
需要澄清的一点是,Colombo并不能实现真正的「远程控制」,也就是远程驾驶这些特斯拉。
 
不过,他依然可以在车主开车的时候突然把音量拉满吓「死」他们。
 
虽然不能远程驾驶,但是可以根据定位在现实中找到其中的某一辆特斯拉,然后直接拉开门把车开走。

这么看来,但凡是接入网络的汽车、冰箱还是扫地机器人等等,大概率都会面临被「黑」的风险。
 

时不时就会被「黑」的特斯拉


实际上,即便不算上Colombo,这也早就不是黑客第一次实现远程访问特斯拉汽车了。
 
2020年11月,一位名叫 Lennert Wouters 的英国安全研究人员表示,通过带有蓝牙信号的计算机连接到特斯拉 Model X 的遥控钥匙,可以重写安全固件,查询密钥卡的安全芯片,生成解锁代码。
 
 
原因在于特斯拉软件系统的一个OTA固件升级漏洞。
 
这些密钥卡没有用于固件更新的「代码签名」,如果车主通过蓝牙获得无线更新,系统无法确认固件代码是否是「来自特斯拉的不可伪造的加密签名」,从而导致固件被错误地重写。
 
Wouters表示,如果一切顺利,只需不到90秒,就能在没有钥匙的情况下偷走一辆Model X。
 
 
实际上,Wouters此前就向特斯拉报告了这个bug,后者在系统更新中发布补丁,修复了漏洞。
 
无独有偶。去年,又有两位安全研究人员表示,可以使用无人机远程入侵特斯拉的信息娱乐系统。入侵成功之后就可以远程解锁车门、改变座位位置、播放音乐等。
 
 
而且,为了证明不是吹牛,二人还专门拍了一段视频,并拿到了Cansecwest 黑客大会上做了展示。
 
在视频演示中,无人机在车顶只盘旋了几秒钟,特斯拉的两个车门就很听话打开了。
 
为了应对安全漏洞,特斯拉在发布程序补丁之外,还开设了一个报告漏洞的「赏金计划」,经过预先批准的安全人员可以注册车辆进行安全测试。
 
 
如果在测试中发现符合条件的漏洞并及时提交报告,最高可以获得15000美元的报酬。

不过,目前尚不清楚Colombo在推特上发布的消息是否符合特斯拉的奖励规定。


40多万辆车刚被召回,又遭车管部门调查


最近一段时间,特斯拉在驾驶安全方面事件频发,不得不应对大规模召回和加州车管部门的调查。
 
 
最近一次的大规模召回涉及356309辆Model 3和119009辆Model S ,原因是车辆的后视摄像头和前引擎盖存在潜在的故障风险。
 
据报道,这次共需召回 475318 辆受影响的车辆,大约相当于特斯拉去年交付给客户的车辆总数。
 
美国国家公路交通安全管理局(NHTSA)在两份召回警告中描述了两款车的具体问题。
 
 
当用户开关后备箱时,Model 3车辆上的后视摄像头可能会受损,导致显示屏不显示,增加撞车风险。
 
 
Model S的问题是前引擎盖的锁未对准,可能导致引擎盖无法正常锁闭,会突然打开阻挡驾驶员视线,增加撞车风险。
 
后视摄像头问题涉及2017-2020年生产的Model 3,而前引擎盖锁的问题涉及2014-2021年生产的Model S。

而且,与之前只通过无线更新就能修复的车辆不同,此次召回的部分车辆必须在车厂进行实体维修。
 


前几天,特斯拉的「全自动驾驶」(FSD) 测试版在加州也被车管部门重新审查。
 
据报道,加州机动车管理局(DMV)正在审查该功能,以确定这个说法是否符合「自动驾驶」的法律定义。
 
对于特斯拉来说,这件事可能影响不小。这将决定特斯拉的车是否要受到加州关于自动驾驶汽车法律的约束。
 
 
DMV发言人表示,「我们已通知特斯拉,将启动对其车辆技术的进一步审查,如果这些技术和功能符合加州法律法规对自动驾驶汽车的定义,DMV 将采取措施,确保特斯拉在适当的自动驾驶汽车许可下运营。」
 
目前,加州 DMV 负责监督美国最大的自动驾驶汽车测试计划,有目前 60 多家公司获准在公共道路上运营测试车辆。只有少数获准在没有安全驾驶员的情况下操作全自动驾驶汽车,而获准将车辆用于商业用途的则更少。

来源:新智元

众号内回复您想搜索的任意内容,如问题关键字、技术名词、bug代码等,就能轻松获得与之相关的专业技术内容反馈。快去试试吧!


由于微信公众号近期改变了推送规则,如果您想经常看到我们的文章,可以在每次阅读后,在页面下方点一个「赞」或「在看」,这样每次推送的文章才会第一时间出现在您的订阅列表里。


或将我们的公众号设为星标。进入公众号主页后点击右上角「三个小点」,点击「设为星标」,我们公众号名称旁边就会出现一个黄色的五角星(Android 和 iOS 用户操作相同)。


聚焦行业热点, 了解最新前沿
敬请关注EEWorld电子头条
http://www.eeworld.com.cn/mp/wap
复制此链接至浏览器或长按下方二维码浏览
以下微信公众号均属于
 EEWorld(www.eeworld.com.cn)
欢迎长按二维码关注!
EEWorld订阅号:电子工程世界
EEWorld服务号:电子工程世界福利社


About Us 关于我们 客户服务 联系方式 器件索引 网站地图 最新更新 手机版

站点相关: TI培训

北京市海淀区知春路23号集成电路设计园量子银座1305 电话:(010)82350740 邮编:100191

电子工程世界版权所有 京B2-20211791 京ICP备10001474号-1 电信业务审批[2006]字第258号函 京公网安备 11010802033920号 Copyright © 2005-2022 EEWORLD.com.cn, Inc. All rights reserved