來源:大數(shù)據(jù)文摘
大數(shù)據(jù)文摘出品
作者:王燁
想象一下,如果你的車停在停車場,一架無人機悄悄飛了過來,控制了你的車載信息系統(tǒng)。
然后你的車門就打開了 ……
這不是拍電影,而是現(xiàn)實中可能發(fā)生的事情。
在 CanSecWest 會議上,一個視頻描述了一次針對特斯拉汽車的實驗,兩個研究人員針對特斯拉智能系統(tǒng)的漏洞,用無人機通過 Wi-Fi 發(fā)動攻擊。
結(jié)果顯示,無人機可以從 100 米的距離上成功控制特斯拉的信息娛樂系統(tǒng),完成開車門、改變座位的位置、播放音樂、控制空氣調(diào)節(jié),并改變方向盤和加速模式等一系列動作。
如何用無人機入侵一輛特斯拉?
這個被稱為 TBONE 的遠程攻擊涉及到兩個影響 ConnMan 的漏洞,ConnMan 是一個車載的嵌入式設(shè)備的互聯(lián)網(wǎng)連接管理器。
攻擊者可以利用這些漏洞,在沒有任何用戶交互的情況下,完全控制特斯拉的信息娛樂系統(tǒng)。
攻擊者有可能打開車門和后備箱,改變座位的位置,包括方向盤和加速模式——簡而言之,就像司機按控制臺上的各種按鈕一樣,但是這種攻擊并不能使汽車失去驅(qū)動控制。
更可怕的是,這一攻擊可以通過無人機遠程進行。
研究人員通過特斯拉信息娛樂系統(tǒng)的 WiFi 功能,無人機可以從 100 米(大約 300 英尺)以外的距離入侵一輛停著的特斯拉并打開車門,他們聲稱這個漏洞對特斯拉 Model S,3,X 和 Y 型號都起到了作用。
" 在 TBONE 中添加 CVE-2021-3347 等特權(quán)升級漏洞,將允許我們在特斯拉汽車中加載新的 Wi-Fi 固件,將其變成一個接入點,可以用來利用進入受害者汽車附近的其他特斯拉汽車。然而,我們并不想把這個漏洞變成蠕蟲病毒。"
本來是準備拿大獎的,結(jié)果被新冠疫情耽誤了
這一漏洞是由來自 Kunnamon 公司的安全研究人員 Ralf-Philipp Weinmann 和 comsecuriis GmbH 的 Benedikt Schmotzle 發(fā)現(xiàn)的。
本來發(fā)現(xiàn)這一漏洞是奔著 Pwn2Own 2020 黑客大賽的汽車類別去的,但是因為新冠病毒的流行,主辦方取消了汽車類別,本來這一類別的獎品就是一輛特斯拉汽車。
盡管沒能參賽,但是研究人員還是把漏洞報告給了特斯拉,特斯拉也在 2020 年 10 月下旬悄悄進行了更新。
直到今年 4 月份,他們將這一研究在 CanSecWest 線上會議上進行了演示,特斯拉的這一漏洞才受到了更多的關(guān)注。
這一結(jié)果也被告知給英特爾,因為該公司是 ConnMan 的原始開發(fā)者,但英特爾認為這不是它的責(zé)任。
另外,研究人員了解到 ConnMan 組件在汽車行業(yè)被廣泛使用,這意味著類似的攻擊也可以針對其他車輛發(fā)動。
于是 Weinmann 和 Schmotzle 向德國的國家 CERT 尋求幫助,以通知可能受到影響的供應(yīng)商,但目前尚不清楚其他制造商是否已經(jīng)采取行動回應(yīng)研究人員的發(fā)現(xiàn)。
安全和智能該如何取舍?
特斯拉最近比較引人注目的是 " 剎車失靈 " 事件。
4 月 19 日的上海車展上,河南安陽車主張女士身穿 " 剎車失靈 " 字樣的 T 恤站在了特斯拉展臺的一輛紅色 Model3 車頂上,同時高呼 " 剎車失靈 "。
事件是春節(jié)時張女士的駕駛特斯拉 Model 3 從景區(qū)駛出,行駛過程中遇紅綠燈路口,駕駛員先是松開油門踏板,與之同行的車主立即聽到父親大叫一聲," 剎車失靈了 ",且車輛沒有任何安全提示。
緊接著,這輛 Model 3 連撞兩輛汽車之后,撞上路邊的水泥護欄才把車停了下來。后據(jù)交警裁決,Model 3 在本次事故中負全責(zé)。
張女士認為特斯拉需要為 " 剎車失靈 " 負責(zé),但是特斯拉卻否認車輛存在 " 剎車失靈 ",這導(dǎo)致張女士一直在維權(quán)路上,一直到車展事件。
這一事件后來又因為特斯拉一系列失敗的公關(guān)手段而在互聯(lián)網(wǎng)愈演愈烈,最終引發(fā)官媒下場點名,特斯拉品牌聲譽也 " 一瀉千里 "。
不過在全民關(guān)注特斯拉自動駕駛技術(shù)是否有問題的時候,汽車智能化的其他方面也值得我們關(guān)注。
正如文摘菌前幾天報道的那樣,隨著汽車可以獲取的數(shù)據(jù)越來越多,。
另外就是今天跟大家聊的無人機遠程控制汽車這一實驗。
這些都無時無刻不在提醒我們,汽車越來越智能的趨勢不可避免,但是我們的數(shù)據(jù)安全、財產(chǎn)安全甚至是生命安全是否得到了充分保證?安全和智能我們該如何取舍?
或者說,我們是否有取舍的權(quán)力?
