特斯拉汽车可以连接互联网进行 OTA 更新,以接收新功能和安全更新,不过一些安全研究人员表示,汽车的联网性其实会带来一定的风险。比利时研究人员发现,他们可以通过蓝牙连接的密钥,在几分钟内入侵并偷走一辆特斯拉 Model X SUV。他们表示,这迫使特斯拉推出了一个修复方案。

两分钟就可以偷走一辆Model X:特斯拉将推更新修复-汇美优普
两分钟就可以偷走一辆Model X:特斯拉将推更新修复

这是比利时鲁汶大学 COSIC 小组的最新安全实验,该小组此前曾在特斯拉的 Model S 豪华轿车上发现了类似的漏洞

研究人员表示,攻击的第一部分只需 90 秒,利用特斯拉无钥匙进入系统中的一系列安全问题可成功进入特斯拉车辆;然后就是进入车内的第二部分攻击,他只需在仪表板下操作一分钟,就可以注册自己的车钥匙,然后把车开走。

研究人员在 8 月 17 日向特斯拉公司通报了他们的发现,他们表示,特斯拉正在推出一项旨在解决这一问题的更新。

COSIC 研究小组的博士生 Lennert Wouters 在一封电子邮件中表示,这个问题不一定是特斯拉独有的。“这个系统是由特斯拉内部开发的,所以这个确切的漏洞很可能只适用于特斯拉 Model X,”他写道,“然而,其他具有不安全的固件更新机制的密钥也可能受到类似的攻击。”

Wouters 指出,其中的关键漏洞包括:固件更新过程中缺乏 “加密签名”,这意味着密钥没有安全的方式来证明更新是否合法;以及不安全的配对协议,允许一个新的、经过修改的密钥与 Model X 配对。

侵入汽车的设备包括一台 35 美元的 Raspberry Pi 电脑、一个改装过的密钥和一个从 eBay 上买来的特斯拉 Model X 控制单元。研究人员利用备用控制单元,让几米内的密钥宣传自己是 “可连接的”。Wouters 说,之后,他们向密钥推送了一个软件更新,可以 “获取有效的解锁息”,以便以后可以解锁汽车。他们指出,特斯拉钥匙扣中的软件可以在没有额外的安全层来验证其真实性的情况下进行更新。

“由于这种更新机制没有得到适当的保护,我们能够以无线方式入侵密钥,并完全控制它,”Wouters 在一份新闻稿中说,“随后,我们可以获得有效的解锁信息,以便日后解锁汽车。”

Lennert Wouters 表示,特斯拉已告诉他本周将开始推送软件更新以应对他的黑客攻击。

文章来源于互联网:两分钟就可以偷走一辆Model X:特斯拉将推更新修复

相关推荐: 11 代酷睿低压处理器阵容解析:新工艺带来了哪些性能提升?

技术规格上来讲,虽然本次 11 代酷睿低压版全线采用的 10nm 制程工艺,算是一个意料之内的技术迭代,但为了在性能上和十代酷睿中已经先一步用到 10nm 制程工艺的 Ice Lake 系列有所区分,英特尔还是在 11 代酷睿低压处理器阵容中加入了新的好料 …