來源:大數據文摘
大數據文摘出品
作者:王燁
想象一下,如果你的車停在停車場,一架無人機悄悄飛了過來,控制了你的車載信息系統。
然后你的車門就打開了 ……
這不是拍電影,而是現實中可能發生的事情。
在 CanSecWest 會議上,一個視頻描述了一次針對特斯拉汽車的實驗,兩個研究人員針對特斯拉智能系統的漏洞,用無人機通過 Wi-Fi 發動攻擊。
結果顯示,無人機可以從 100 米的距離上成功控制特斯拉的信息娛樂系統,完成開車門、改變座位的位置、播放音樂、控制空氣調節,并改變方向盤和加速模式等一系列動作。
如何用無人機入侵一輛特斯拉?
這個被稱為 TBONE 的遠程攻擊涉及到兩個影響 ConnMan 的漏洞,ConnMan 是一個車載的嵌入式設備的互聯網連接管理器。
攻擊者可以利用這些漏洞,在沒有任何用戶交互的情況下,完全控制特斯拉的信息娛樂系統。
攻擊者有可能打開車門和后備箱,改變座位的位置,包括方向盤和加速模式——簡而言之,就像司機按控制臺上的各種按鈕一樣,但是這種攻擊并不能使汽車失去驅動控制。
更可怕的是,這一攻擊可以通過無人機遠程進行。
研究人員通過特斯拉信息娛樂系統的 WiFi 功能,無人機可以從 100 米(大約 300 英尺)以外的距離入侵一輛停著的特斯拉并打開車門,他們聲稱這個漏洞對特斯拉 Model S,3,X 和 Y 型號都起到了作用。
" 在 TBONE 中添加 CVE-2021-3347 等特權升級漏洞,將允許我們在特斯拉汽車中加載新的 Wi-Fi 固件,將其變成一個接入點,可以用來利用進入受害者汽車附近的其他特斯拉汽車。然而,我們并不想把這個漏洞變成蠕蟲病毒。"
本來是準備拿大獎的,結果被新冠疫情耽誤了
這一漏洞是由來自 Kunnamon 公司的安全研究人員 Ralf-Philipp Weinmann 和 comsecuriis GmbH 的 Benedikt Schmotzle 發現的。
本來發現這一漏洞是奔著 Pwn2Own 2020 黑客大賽的汽車類別去的,但是因為新冠病毒的流行,主辦方取消了汽車類別,本來這一類別的獎品就是一輛特斯拉汽車。
盡管沒能參賽,但是研究人員還是把漏洞報告給了特斯拉,特斯拉也在 2020 年 10 月下旬悄悄進行了更新。
直到今年 4 月份,他們將這一研究在 CanSecWest 線上會議上進行了演示,特斯拉的這一漏洞才受到了更多的關注。
這一結果也被告知給英特爾,因為該公司是 ConnMan 的原始開發者,但英特爾認為這不是它的責任。
另外,研究人員了解到 ConnMan 組件在汽車行業被廣泛使用,這意味著類似的攻擊也可以針對其他車輛發動。
于是 Weinmann 和 Schmotzle 向德國的國家 CERT 尋求幫助,以通知可能受到影響的供應商,但目前尚不清楚其他制造商是否已經采取行動回應研究人員的發現。
安全和智能該如何取舍?
特斯拉最近比較引人注目的是 " 剎車失靈 " 事件。
4 月 19 日的上海車展上,河南安陽車主張女士身穿 " 剎車失靈 " 字樣的 T 恤站在了特斯拉展臺的一輛紅色 Model3 車頂上,同時高呼 " 剎車失靈 "。
事件是春節時張女士的駕駛特斯拉 Model 3 從景區駛出,行駛過程中遇紅綠燈路口,駕駛員先是松開油門踏板,與之同行的車主立即聽到父親大叫一聲," 剎車失靈了 ",且車輛沒有任何安全提示。
緊接著,這輛 Model 3 連撞兩輛汽車之后,撞上路邊的水泥護欄才把車停了下來。后據交警裁決,Model 3 在本次事故中負全責。
張女士認為特斯拉需要為 " 剎車失靈 " 負責,但是特斯拉卻否認車輛存在 " 剎車失靈 ",這導致張女士一直在維權路上,一直到車展事件。
這一事件后來又因為特斯拉一系列失敗的公關手段而在互聯網愈演愈烈,最終引發官媒下場點名,特斯拉品牌聲譽也 " 一瀉千里 "。
不過在全民關注特斯拉自動駕駛技術是否有問題的時候,汽車智能化的其他方面也值得我們關注。
正如文摘菌前幾天報道的那樣,隨著汽車可以獲取的數據越來越多,。
另外就是今天跟大家聊的無人機遠程控制汽車這一實驗。
這些都無時無刻不在提醒我們,汽車越來越智能的趨勢不可避免,但是我們的數據安全、財產安全甚至是生命安全是否得到了充分保證?安全和智能我們該如何取舍?
或者說,我們是否有取舍的權力?
