7 月 28 日���, 2017 年世界黑客大會(huì)的最后一天,騰訊科恩實(shí)驗(yàn)室頒布頒發(fā)����,再次實(shí)現(xiàn)了以“遠(yuǎn)程無(wú)物理接觸”的方式侵入特斯拉Model X,獲得了最高權(quán)限(full access)�。
2016 年,首次攻陷特斯拉汽車讓騰訊科恩實(shí)驗(yàn)室在汽車業(yè)界一戰(zhàn)成名����。這一次�,科恩實(shí)驗(yàn)室再次發(fā)現(xiàn)多個(gè)高危安適漏洞并實(shí)現(xiàn)了對(duì)特斯拉的無(wú)物理接觸遠(yuǎn)程攻擊,從最基本的使用手機(jī)遠(yuǎn)程解鎖任意車門,到遠(yuǎn)程介入并控制剎車系統(tǒng)���,再到通過(guò)控制車輛的多個(gè)ECU(電子控制單元)模塊����,進(jìn)而控制整車的車電網(wǎng)絡(luò)�,能夠在駐車模式和行駛模式下對(duì)特斯拉進(jìn)行任意遠(yuǎn)程操控。此外����, 2016 年 9 月,���,特斯拉為了提升車輛安適性增加了“代碼簽名”安適機(jī)制����,對(duì)所有FOTA升級(jí)固件進(jìn)行強(qiáng)制完整性校驗(yàn)��,本次研究突破了該“代碼簽名”機(jī)制���。
科恩實(shí)驗(yàn)室體現(xiàn)����, 2017 年 6 月底,科恩實(shí)驗(yàn)室已經(jīng)根據(jù)“負(fù)責(zé)任的漏洞披露”流程��,將本輪研究中發(fā)現(xiàn)的所有安適漏洞技術(shù)細(xì)節(jié)陳訴給特斯拉美國(guó)產(chǎn)品安適團(tuán)隊(duì)��。特斯拉產(chǎn)品安適團(tuán)隊(duì)快速確認(rèn)了漏洞有效性和危害����,并于 7 月初進(jìn)行了快速修復(fù)并通過(guò)FOTA推送了升級(jí)系統(tǒng)固件。特斯拉車主可以檢查一下系統(tǒng)版本����,如果系統(tǒng)低于8.1
(17.26.0)版本須盡快升級(jí),制止行車安適問(wèn)題��。
未來(lái)汽車網(wǎng)聯(lián)化程度越來(lái)越高����,對(duì)應(yīng)的信息安適挑戰(zhàn)隨之而來(lái)。全球汽車產(chǎn)業(yè)需要為新挑戰(zhàn)做好哪些準(zhǔn)備����?產(chǎn)業(yè)生態(tài)將發(fā)生哪些變革? 2017 年世界黑客大會(huì)期間��,騰訊汽車聯(lián)合科恩實(shí)驗(yàn)室發(fā)起了汽車信息安適沙龍���,邀請(qǐng)信息安適專業(yè)人士就汽車信息安適問(wèn)題進(jìn)行了專門討論�。騰訊汽車頻道總編纂王秋鳳體現(xiàn)����,作為媒體,騰訊汽車希望在這個(gè)關(guān)鍵的時(shí)間節(jié)點(diǎn)上����,利用科恩實(shí)驗(yàn)室的破解事件引發(fā)整個(gè)行業(yè)對(duì)汽車信息安適問(wèn)題的關(guān)注。
科恩實(shí)驗(yàn)室為什么總是盯上特斯拉�����?
一些車企的規(guī)劃表白���,具備較豐富網(wǎng)聯(lián)功能的車型最快在未來(lái)一兩年內(nèi)就會(huì)面世�,未來(lái)三到五年內(nèi)��,智能網(wǎng)聯(lián)汽車就將陸續(xù)走進(jìn)人們的生活���。因此�,汽車信息安適問(wèn)題已十分緊迫�����,王秋鳳預(yù)測(cè), 2020 年擺布智能網(wǎng)聯(lián)汽車的信息安適問(wèn)題將會(huì)集中發(fā)作�����。
這樣的配景下�����,科恩與特斯拉的“恩怨”就不難理解了��?��?贫鲗?shí)驗(yàn)室總監(jiān)呂一平說(shuō)����,我們之所以關(guān)注特斯拉��,是因?yàn)樘厮估悄壳白罹邩?biāo)識(shí)表記標(biāo)幟性的智能網(wǎng)聯(lián)汽車�����?��!拔覀兿M麑?duì)特斯拉的研究�,能夠讓其他車企在汽車信息安適認(rèn)識(shí)、安適能力儲(chǔ)備方面有一個(gè)很好的參考��?����!?/p>
“我們必需給特斯拉一個(gè)比較客不雅觀的評(píng)價(jià)��?�!卑凑湛贫鲗?shí)驗(yàn)室的研究,特斯拉在信息安適技術(shù)上的投入可能是目前全球汽車企業(yè)中最多的��,其已經(jīng)實(shí)現(xiàn)的汽車安適防護(hù)技術(shù)也是全球領(lǐng)先的�。
他提醒說(shuō)��,汽車安適能力不但是信息技術(shù)的��,還包孕車企在辦理、流程各方面的準(zhǔn)備���?�!皩?duì)我們發(fā)現(xiàn)的安適漏洞��,特斯拉每次都能做出快速反應(yīng)���,快速修復(fù)��,并通過(guò)OTA把安適補(bǔ)丁推送到每一輛在使用中的汽車��,這一整套機(jī)制都是值得傳統(tǒng)車企借鑒和學(xué)習(xí)的�����?����!?/p>
汽車網(wǎng)聯(lián)化會(huì)不會(huì)帶來(lái)一場(chǎng)噩夢(mèng)?
《速度與激情8》中黑客遠(yuǎn)程操控車輛的場(chǎng)景讓不少人記憶猶新����,這個(gè)目前僅存在于電影傍邊的場(chǎng)景�,離真實(shí)的生活有多遠(yuǎn)��?作為汽車信息安適專家��,與會(huì)者并不覺(jué)得這一切是天方夜譚。
“從技術(shù)層面上講��,智能汽車的信息安適保障難度比擬傳統(tǒng)汽車大得多����,它的車載電腦系統(tǒng)的數(shù)量更多,更多的數(shù)據(jù)輸入意味著會(huì)有更多安適問(wèn)題�����,也給了黑客更多的攻擊機(jī)會(huì)���?���!北蛔u(yù)為“地球上技術(shù)最熟練的黑客之一”的查理·米勒博士是全球黑客界傳奇般的人物��, 2015 年�����,他和同伴成功入侵了一輛 2014 款Jeep,使菲亞特克萊斯勒汽車公司(FCA)在全球召回了 140 萬(wàn)輛車進(jìn)行返廠升級(jí)���。他說(shuō)�,相對(duì)于入侵僅具有部分網(wǎng)聯(lián)功能的Jeep��,攻擊無(wú)人駕駛汽車更加容易,“如果車輛的自動(dòng)駕駛系統(tǒng)被黑了,攻擊傳統(tǒng)汽車所使用的‘欺騙’手段都沒(méi)須要做����。”
理論上講��,黑客選擇從云端和CAN端攻入智能汽車都是可能的。騰訊云安適專家史博指出�,“如果云端被攻擊���,影響的車輛會(huì)更多�。”這意味著�����,帶有安適漏洞的智能汽車將是整個(gè)社會(huì)的一大隱患。
但更大的風(fēng)險(xiǎn)���,可能還不在未來(lái)��,而存在于現(xiàn)實(shí)傍邊。“目前國(guó)內(nèi)汽車企業(yè)遍及在信息安適知識(shí)�����、能力和經(jīng)驗(yàn)方面的積累還比較少�����。我們做了很多的用戶教育和行業(yè)教育工作��,但在去年我們破解特斯拉之前��,這個(gè)教育工作很難做�,大家都覺(jué)得問(wèn)題真的會(huì)發(fā)生嗎�����?你們說(shuō)的威脅能實(shí)現(xiàn)嗎?去年特斯拉的破解視頻公開(kāi)以后,大家才意識(shí)到問(wèn)題的嚴(yán)重性����?��!眳我黄秸J(rèn)為,國(guó)內(nèi)車企首先要在戰(zhàn)略意識(shí)上認(rèn)識(shí)到網(wǎng)聯(lián)化為汽車信息安適帶來(lái)的重大挑戰(zhàn)�����,開(kāi)始重視信息安適能力建設(shè)。車企在車輛的被動(dòng)安適��、主動(dòng)安適(ADAS)方面的技術(shù)積淀相當(dāng)深厚����,不過(guò)在網(wǎng)絡(luò)安適方面�,車企還要向互聯(lián)網(wǎng)公司學(xué)習(xí)經(jīng)驗(yàn)���。
距離可能的危機(jī)還有三至五年,汽車界該做好哪些準(zhǔn)備�����?
