主页 > E惠生活 >特斯拉汽车又被攻破,车联网安全问题逐渐浮现

特斯拉汽车又被攻破,车联网安全问题逐渐浮现

 

特斯拉汽车又被攻破,车联网安全问题逐渐浮现

去年攻陷特斯拉汽车让腾讯科恩实验室在汽车产业界一战成名,在今天的世界骇客大会上,科恩实验室宣布再次实现了以「远端无物理接触」的方式入侵特斯拉 Model X,获得了最高权限(full access)。就汽车资讯安全问题,腾讯汽车联合科恩实验室发起了汽车资讯安全沙龙,36 氪受邀参加。我们一起来看一下,资讯安全专业人士眼中的汽车资讯安全问题。

先来说说这次科恩实验室发现的新漏洞,与去年类似,从最基本的使用手机远端解锁任意车门,到远端介入并控制剎车系统,再到通过控制车辆的多个 ECU(电子控制单元)模组,进而控制整车的车电网路。

根据科恩实验室的说法,本次研究实现了和去年一样的完整攻击效果,最终入侵特斯拉车电网络实现任意远端操控。除此之外,2016 年 9 月,特斯拉为了提升车辆安全性增加了「代码签名」安全机制,对所有 FOTA 升级固件进行强制完整性校验,本次研究突破了该「代码签名」机制。以下是科恩实验室演示影片——

特斯拉汽车又被攻破,车联网安全问题逐渐浮现

与去年的做法类似,2017 年 6 月底,媒体尚未曝光之前,科恩实验室已经按照「负责任的漏洞披露」流程,将本轮研究中发现的所有安全漏洞技术细节提交给特斯拉美国产品安全团队。特斯拉产品安全团队快速确认了漏洞有效性和危害,并于 7 月初进行了快速修复并通过 FOTA 推送了升级系统固件。根据特斯拉安全团队的报告,目前全球範围内绝大部分特斯拉车辆已经通过 FOTA 成功升级系统韧体,确保了特斯拉用户的行车安全。

特斯拉车主可以检查一下系统版本,如果系统低于 8.1 (17.26.0) 版本,请尽快升级,确保安全漏洞得到及时修复,避免行车安全问题。

我们好奇的是,特斯拉在资讯安全防御方面做到了什幺水平?为了应对汽车网联化这个趋势,传统汽车製造商又需要做哪些工作?

以下是科恩实验室总监吕一平的观点:

一个非常明显的差异是,在特斯拉深度採用 OTA 空中更新远端推送功能及安全更新几年后,罕有传统车企跟进。背后的原因有几点,一是上文中说的那样,传统车企在软件团队建设方面投入不大,二是可 OTA、可云端互联的车型会在遭到攻击时是否会像计算机病毒一样迅速传播?如何有效的管控?这些不确定性让传统车企在车联网和 OTA 技术上态度非常保守。

但真正曝出安全问题时,被动的反而是这些传统车企。特斯拉在去年曝出重大漏洞后,在 10 天内修复了漏洞并通过 OTA 将安全补丁推送给了全球各地的特斯拉车端。而传奇骇客 Charlie Miller 曝出 2014 款 Jeep 车型的漏洞后,菲亚特克莱斯勒集团最终耗费数亿美元面向全球召回 140 万辆汽车进行返厂升级。

通用汽车 CEO Mary Barra 最近在财报会议上表示,通用全新的电气架构和支持 OTA 的车载影音娱乐系统部署节点在「2020 年之前」,并称通用此举「抓住了机遇」。

这个表态大致支撑了吕一平的观点,他认为传统车企「具备丰富网联功能的车型」上市最早也在 2018 年末甚至 2019 年,智慧网联汽车的问题在 2020 年才会左右集中爆发。因此短期内并不会发生像《玩命关头 8》中远端控制大规模车队的那种灾难。此外,针对汽车资讯安全的低下黑色产业链也尚未发展成型。

但这并不意味着车企可以懈怠,汽车资讯安全与计算机资讯安全的一个明显区别是,除了财产损失威胁,被攻陷的汽车还会带来生命安全威胁。因此,在资讯安全领域未雨绸缪显得尤为必要。

好的一面是,国内创业公司在这一点上做得很好,例如滴滴一直在强调未来智能汽车安全的重要性,成立滴滴硅谷研究院的同时将上文中传奇骇客 Charlie Miller 招致麾下,出任滴滴自动驾驶安全负责人;蔚来汽车直接把自动驾驶、车联网团队设在了美国加州;威马汽车 CEO 沈晖也在朋友圈表示网联汽车的安全问题非常重要。

特斯拉 CEO Elon Musk 说系统和网络安全问题已经成为他关注问题的最高优先级,随着技术的发展,这一问题的重要性还将继续上升。他警告传统车企,网络安全迟早会成为大问题。

伴随着汽车产业智能化变革,车企们还有大量的资讯安全领域的工作要做。

延伸阅读

仪表板就可看 Line!光阳工业首发车联网系统「Noodoe」,用它打造全球骑士社群
车联网来袭你準备好了没?特斯拉无人车只是开胃菜
换做汽车晶片要找专家!传联发科併 NVIDIA 牵手挺进车联网

相关推荐