如何看待腾讯科恩实验室成功远程控制特斯拉?
在最新的报道中,可以看到科恩实验室对于特斯拉的多款车型,可以做到在不接触汽车的情况下,实现对车的入侵。
这种入侵是可以深入到车电网络内部的,换句话说,科恩实验室能够远程、持续性的控制一辆特斯拉,包括获取该车的各种敏感信息(车主信息、地理位置、操作日志等)、远程打开车门(可能造成车内物品被盗等)、远程控制车辆(在行驶状态下突然打开后备箱、关闭后视镜、甚至远程刹车等)。
目前科恩实验室和特斯拉官方配合,在漏洞确认已经完全被修复后,会对外公开本次研究技术细节。从此次研究中看来,全球范围的汽车应该都会存在或多或少的安全隐患,实际上特斯拉已经是全球范围内对安全最为重视的车厂了。科恩实验室也声明会密切关注智能汽车安全问题。
这里我们再来关注下特斯拉的操作系统构成及不同级别系统关联的能力,及对应攻击的难度:
1. 特斯拉的系统架构非常复杂,包含多个复杂操作系统、多个单片机系统和多路CAN总线。
2. 研究过程很有挑战,即使借助于科恩实验室多年的安全研究积累,团队成员仍然费了很大的心思。
3. 科恩实验室可以同时实现在复杂系统和单片机上进行任意代码执行,在各路CAN总线上进行数据发送,也就是所谓的完全控制。
官方APP遥控到欧洲,多名车主中招!特斯拉又出乌龙?
看到这个标题,估计大家又觉得,“电动邦又要开始黑特斯拉了”。其实不能这么说,我根本没想黑特斯拉,我只是把特斯拉做的事儿描述一下罢了。
继几个月前APP证书过期没法登陆后,这两天特斯拉的APP又出幺蛾子——“串车”事件。据车主@可乐willhappy描述,9月15日,他打开特斯拉的APP后,发现里面是别人的车,并且自己可以远程控制这台车,比如解锁车门、打开空调、开启车辆限速等。
根据车主描述,他人在重庆,而另一位“受害”特斯拉车主@南岳山大汉则身在衡阳,真的是网络姻缘一线牵,Model 3从一月到现在几万辆卖出去了,就这两位这么有缘。
另外,@南岳山大汉从前一天就在跟特斯拉长沙服务中心反应,自己的APP连不上车子,特斯拉也没给人家解决,直到@可乐willhappy在交流群里发出了此次乌龙事件相关信息后,这位车主才后知后觉地发现,自己的车子原来是跑到别人手机里去了。
自从特斯拉中国学会网上冲浪后,对于这类负面消息监控得非常迅速,加之车主的微博被大量大V转发,很快特斯拉高管和特斯拉客户支持都迅速回应,并在事出当天23:59掐点儿公布调查结果——工作人员在更换车载电脑时输错了车辆识别号,导致串车。
怎么说呢,这就好像充话费给充到别人手机里,汇款汇到别人账户里的感觉……
然而,这种莫名其妙的事竟然还不是第一次,今年8月,一位网友表示自己打开特斯拉APP后,自己的车不见了,反倒显示出五台欧洲的车,并且都能进行远程控制。这才是真正的无延迟跨服交流,跨国代练,steam看了都直呼内行。
当然特斯拉也解决了这件事,不过没有像这次一样,公布详细的原因和调查结果。
同样的事在英国也发生过,这张图是“丢失车辆”的车主的发言,简单翻译过来就是,某天他发现自己的车从APP中消失了(他的车是公司买的)。过了几天后,特斯拉找他要VIN码,他上报后发现,这辆车绑定在另一个人身上,碰巧这个人是他的同事,但两人在相隔300多英里的地方工作,此前从没见过面。
随后他与该同事沟通后发现,同事的APP里有两辆车,并且可以远程控制这两辆车,也能看到定位。
而关于这件事,特斯拉依旧是为车主修复了故障,并未公布出现问题的原因。
总结一下国内外这三次类似事件,这种情况有可能是由于某一方错误输入VIN码,把原本车主的登录挤下去了,经常把自己的 游戏 号给大腿玩的朋友可能对此体会比较深。
但必须指出的是,仅针对9月这次事故,这属于特拉斯的员工犯2,输错了客户的VIN码。这要是发生在银行柜员身上后果不敢想象。再联想一下上次特斯拉APP无法登陆,居然是因为运维没给api证书续费,还是用户给查出来的。这两次都不是能力问题而是态度问题,可见特斯拉需要好好管教一下员工了。
另外,一个维修工人输错一个VIN码就能搞到车子的控制权属实离谱,这方面还得看国内资本家,因此我建议马斯克找马云取取经,看看万千老板最爱的钉钉是怎么防止这种误操的。
有一次我下班没打卡,但是要赶火车,就委托我同事登一下我的钉钉,帮忙打一下,结果发现钉钉居然TMD带常用设备识别的!着实狠毒。当然不久之后我们公司就换人脸识别打卡了,连在地铁上提前打卡都给你杜绝了。
当然,相信特斯拉吃了这几次亏,肯定会在这方面下功夫。
这件事就像前两天的特斯拉车祸事件一样,加深了群众对智能 汽车 的恐慌。此前大家担心智能 汽车 无非就是两个方面,一个是信息安全,这年头开个车都要连网,连了网嘛,大家都懂,你基本就是个裸奔状态啦。
另一个是自动驾驶,这玩意也是玄学,就单纯特斯拉一个品牌,撞货车撞雪糕筒的事就不知道多少起了。这两个结合在一起更可怕,一旦我信息泄露,黑客拿到了我车子的控制权,开着不太聪明的车子到处乱撞怎么办?
虽然在我们这些吃瓜群众眼里,特斯拉串车事件可能就是个一笑而过的故事,但这在当事车主眼里,绝对是让他们毛骨悚然的事故,两位车主纷纷“幻想”了几种可怕的情况,感觉下一秒就要被自己的特斯拉暗杀了。
由于我在这个行业内工作,对智能 汽车 的接受度还是很高的,对新势力们的宽容度也很高。但近年来接连不断的迷惑事故也让我感受到,我们离真正安全、可靠、方便的智能 汽车 还差得很远。希望国内外的厂商能吸取教训,不断优化和提高自己的产品吧,千万别逼得我们这些媒体人都跑去做王铜根啊。
特斯拉上海工厂摄像头被入侵,这会导致什么损失?
这种行为最后的结果往往会导致一些企业里面的比较关键的信息,比如新的汽车的外貌,还有一些劳动的数据会被其他的同行获取到,对于特斯拉工厂会造成一些不必要的损失。
最近特斯拉工厂监控视频被泄露的消息在网络上引发了很多网友的热议和关注,而很快特斯拉也向相关的网络媒针对这个消息进行了回应,特斯拉表示上海超级工厂目前并没有被入侵,相关视频也没有被曝光,这次被泄露的工厂是在河南的一处特斯拉的供应商的生产现场,而且只有这一个地方被黑客入侵了。特斯拉在中国地区的其他厂商和供应商的工厂基本上都没有被黑客入侵,比如我们非常熟知的上海超级工厂,还有特斯拉在全国范围内的各个门店,包括交付中心都和这次监控视频被入侵的事件没有关系。
而且经过他们自己的调查,这次监控视频被入侵,并没有引发什么特别大的安全风险。这次事情让人感到非常的意外,因为特斯拉可以说是世界上非常著名的一个公司,每年出厂的新产品都会引发很多人的关注,所以新车型的外貌对于很多的汽车厂商来说都是非常保密的信息,在他们官宣之前都是不能泄露的,他们对于新车子可以说是保护的非常严密的,就像我们高考时试卷是不能被提前知道考试题目是一样的,而现在他们的监控视频被入侵了,那么他们的一些生产细节包括一些新车子的外形,就可能被其他人获取。这也是一个比较可怕的后果。
而在这次事件中,特斯拉他们所有工厂的监控系统都是外包给第三方的,而现而此次黑客主要就是入侵的这个第三方监控公司的系统,所以特斯拉的监控视频才会被曝光,希望特斯拉可以进行进一步的调查,防止类似的事件再次发生。
特斯拉上海超级工厂监控被入侵,是否对特斯拉造成了影响?
特斯拉上海超级工厂监控被入侵,肯定会对特斯拉造成一定的影响啊。根据新闻消息,3月10日,特斯拉伤害的超级工厂监控被入侵,很快特斯拉就对这件事情做出了回应,这次出现的摄像头入侵时间,是黑客时间,入侵的范围仅仅涉及到了河南的一处特斯拉供应商生产现场,发现问题之后,已经停止了摄像头的联网,所以目前对于特斯拉的总体来说,影响并不大。
一、视频传出特斯拉的影像。
根据网上发布的一则短视频,说是来自于特斯拉的上海工厂内部,可以看到几名员工正在你组装线上工作,发布这段视频的黑客说,他们不仅仅只有这些视频,还可以获取到更多特斯拉工厂和仓库的视频,共计有222部监控拍到的影像,随后这件事情就在网上开始发酵。
二、黑客的影像不仅仅只有特斯拉。
根据彭博社的报道,这次视频影像事件的发生,是一群黑客说他们成功入侵了硅谷监控创始公司Verkada,从而收集到了海量的监控数据,总计15万个监控的时事录像都可以看到,除了特斯拉之外,还有医院,警局,监狱,软件提供商Cloudflare等等,所以说,这次事件的发生,特斯拉并不是唯一的受害者。
三、特斯拉回应无安全风险。
随着特斯拉的内部生产视频的流出,特斯拉表示,中国区只有偶在河南的一处供应商工厂使用的是Verkada品牌摄影头,仅仅用作远程质量管理,像是上海的超级工厂,其他的门店和交付中心不会受到应县。此外,公司的摄像头接入的都是公司的内部网络并没有接入互联网,数据存储也是本地存储,所以不会对特斯拉造成安全风险。
(图片来自网络,如有侵权,请联系作者删除)
一个漏洞就能让数百万辆车被黑客操控,智能汽车的安全谁来保障?
文/Hanmeimei
在全民抗“疫”的这段特殊时期,相信许多人和我一样,每天都在关注着和疫情有关的一切信息。值得注意的是,奋战在抗“疫”前线的除了那些“逆行者”,还有一支由无人驾驶技术所赋能的重要力量,就是那些承担配送、消毒等任务的无人送餐车、无人配送车、无人消毒车。
无人车在抗“疫情”前线大显身手,预示着智能网联汽车产业的发展前景无限。而就在2月24日,发改委、工信部等11部委联合印发的《智能汽车创新发展战略》正式发布,明确指出“智能汽车已成为汽车强国战略选择”。作为汽车产业的新风口,智能汽车再次引发了关注热潮。
权威分析机构IHS Research预测,全球无人驾驶量产汽车将在2025年上市,销量将达到23万辆。而根据麦肯锡的预测,到2025年无人驾驶汽车将产生2000亿到1.9万亿美元的产值。面对一个万亿级规模的市场,大家都在摩拳擦掌,希望能抢占先机,但是要想在这片充满潜力的蓝海中徜徉,我们还必须跨过汽车信息安全这道门槛。
黑客入侵汽车,后果堪比911
技术的发展永远是把双刃剑,网络让汽车变得更加智慧、高效,也同时让我们的生活暴露在更多风险之下。美国前国家安全局局长、首任网络司令部司令基思·亚历山大曾说过,“世界上只有两种网络,一种是已经被攻破的网络,一种是还不知道自己被攻破的网络。”
美国非营利组织Consumer Watchdog在2019年发布了一份名为《杀戮开关KILL SWITCH》的研究报告,报告显示2020年几乎所有车辆都具备了联网功能,意味着它们更容易受到黑客攻击,当数百万辆汽车用着同一个应用,黑客攻击一个漏洞就能同时影响数百万辆汽车。
报告还给出了一个让人毛骨悚然的推论,未来在高峰时间一旦黑客发起大规模攻击将导致911级别的灾难,造成三千人死亡,换句话说《速度与激情8》中遥控汽车跳楼的场面离我们并不遥远。
在现实生活中,黑客入侵汽车的事件也频频发生。2014年黑客利用宝马ConnectedDrive数字服务系统漏洞可远程打开车门,约220万辆车型受到影响;2015年黑客远程入侵一辆正在行驶的切诺基并做出减速、制动等操控,最终造成全球140万辆车被召回;2016年黑客通过日产聆风APP的漏洞轻易获取到了司机驾驶记录并将汽车电量耗尽,日产随即禁用该APP。
Upstream Security发布的《2020年汽车网络安全报告》显示,自2016年以来汽车网络安全事件数量增加了605%,仅在2019年就增加了一倍以上。在正义与邪恶的较量之间,我们不能寄希望于黑客的良知,而是必须主动出击。
汽车安全漏洞不仅关乎汽车企业的品牌形象,也关系到用户的人身和财产安全,更会给整个社会公共安全管理带来挑战。这也是为什么在《战略》中明确指出了要“构建全面高效的智能汽车网络安全体系。”网络安全是所有0前面的1,有了它智能汽车产业才能蓬勃发展。
车企携手安全专家共筑“防火墙”
令人欣慰的是,近年来面对日益加剧的汽车网络安全风险,汽车制造商的安全意识明显提升,同时他们也意识到要构筑坚实的安全“防火墙”,仅靠自己的力量还不够,必须与安全领域的专业人士合作。
奔驰研究团队与360Sky-Go团队达成合作
特斯拉早在2013年就设立了“安全研究员名人堂”,鼓励白帽黑客们一起来“查漏补缺”;2016年通用汽车与著名的白帽黑客平台HackerOne合作推出了“漏洞悬赏计划”;2019年12月,奔驰宣布与国内网络安全领军企业360达成合作,双方携手修复了19个奔驰智能网联汽车有关的潜在漏洞,并向漏洞发现团队360Sky-Go颁发卓越奖。
在刚刚落幕的全球顶级网络安全盛会RSAC 2020上,通用与奔驰两家传统车企的代表也参加了会议,这也是RSAC历史上首次有两家顶级车企现身,足以看出车企对网络安全的重视程度。
在通用汽车公司董事长兼CEO玛丽·巴拉发表的题为《运输的未来取决于强大的网络安全》的演讲中,着重强调了网络安全的重要性,“企业必须确保每辆车都能安全可靠的运行,否则任何一家企业的一次事故,都将严重打击消费者对智能汽车的信心,甚至让整个行业发展滞后。”所以合作至关重要,玛丽也呼吁在整个行业范围内进行网络安全协作与解决方案共享。
而奔驰则与合作伙伴360共同进行了一场主题演讲,发布了此前针对奔驰车辆安全的研究成果,同时就智能汽车所带来的安全风险与隐患进行探讨。奔驰研发中心产品安全负责人盖·哈帕克指出,通过他们的研究剖析发现,如今黑客对攻击技术手段的钻研程度越发深入,智能网联汽车越来越多的引入新的软硬件模块做支撑,而这些模块的集成应用暴露出潜在的攻击面,引入了新的安全风险。
所谓“道高一尺、魔高一丈”,要应对这些新风险,就需要更全面的信息安全专业知识和解决方案,360 Sky-Go安全研究员陈元恺在会上提出的解决方案,就是360汽车安全大脑。
汽车安全大脑由车载端和云端构成端到端防御体系,通过部署在车端的软硬件安全产品,将安全相关的数据收集到云端平台,感知汽车网络安全风险。云端通过安全大脑提供的分析引擎、知识库和专业的分析人员,对车端的数据进行自动化分析、溯源,发现并处理攻击事件,从而消除攻击带来的影响,免疫同类攻击再次发生。
对360来说,合作的车企越多,获得的案例和数据就越丰富,汽车安全大脑也就能够被训练得更加智能高效。截至目前,360已与国内70%的主流汽车厂商合作,有超过30万辆路面上行驶的汽车接入了360汽车安全大脑,获得实时防护。
迈过安全这道门槛,智能汽车才能真正起飞
5G的商用推进给全球智能化产业发展按下了加速键,尤其是对于智能汽车行业来说更是如此,汽车企业、零部件巨头和科技公司们都在摩拳擦掌积极布局,希望搭上这趟快车道,抢占万亿级市场的先机。
而在智能汽车行业真正腾飞之前,必须系上这根“安全带”,因为安全永远应该跑在速度前面。从RSAC 2020上释放的信息来看,如今车企与互联网安全企业的合作已经成为主流趋势,有360这样专业的安全企业保驾护航,风口上的智能汽车行业才能飞得更高、更远也更稳。
本文来源于汽车之家车家号作者,不代表汽车之家的观点立场。
特斯拉摊上大事了!被爆重大安全漏洞,黑客几分钟能把车开走
如今的新能源汽车成为了国内外汽车市场最受追捧的车型之一,而且因为新能源汽车是一块香饽饽,也有不少造车新势力的加入,让新能源汽车市场更加的蓬荜生辉。但是,虽说大家都在拼了命的在新能源汽车领域努力做出一番成就,不过说起特斯拉,恐怕没有谁能够在新能源领域中和它与之比较。毕竟人家有颜值,有实力,有着无人能敌的气场。自从它进入国内汽车市场之后,可以说是风波不断。比如前几天刚被曝出 特斯拉Model S的天窗在行驶的过程中飞落了,然而一波未平,一波又起。特斯拉现在又摊上大事了!被曝出现严重的安全漏洞,黑客几分钟就能把车给开走。
首先,可以说特斯拉旗下的车型不仅在外观上面做到了英俊迷人,而且它的续航里程和它的科技配置也是一流的。毕竟现在的车型都在走高科技智能化。可是,来自比利时鲁汶大学的研究人员,在23日发布了一项研究。显示特斯拉Model X或许存在重大的安全隐患,也就是说只要重写特斯拉Model X的密钥卡固件,然后从密钥卡上提取解锁代码,然后就能够做到在几分钟之内开走这辆Model X汽车。
而且,研究人员还表示说,黑客攻击程序其实非常的简单。首先黑客只要利用特斯拉无钥匙进入系统中的安全问题,然后就能成功的让车辆解锁。下一步就是在仪表盘上面操作一分钟注册自己的车钥匙,就能够轻轻松松的把这辆车开走。整个过程用不了五分钟,一辆价值七十多万的车,就这样被别人给开跑了。
当然,类似于这样的事件在国内汽车市场并没有发生。和这件事情相比较来说,特斯拉在国内汽车市场所引发的一些事故,简直就是小巫见大巫——小题大做了。比如像什么后备箱漏水,黑屏还有天窗掉落,完全都是一些小场面,小事件。起码自己的车没有被别人给解锁,已经是不幸中的万幸了。
最后,黑客利用安全漏洞把车开走的事情在欧洲汽车市场发生了不止一次,而且大部分车辆被偷走之后都不知去向,没有办法去跟踪或者是定位自己车辆所在的位置,也就等于说自己的车凭空消失了。不过,大家不用担心,因为特斯拉在确认存在安全漏洞之后已经开始着手对安全漏洞进行修复,能够在第一时间保证汽车的安全。
本文来源于汽车之家车家号作者,不代表汽车之家的观点立场。
0条大神的评论