德國(guó)青少年科技天才發(fā)現(xiàn)能控制所有特斯拉車(chē)輛

2022-01-18 19:21?來(lái)源 溫州視線綜合

德國(guó)青少年科技天才發(fā)現(xiàn)能控制所有特斯拉車(chē)輛

　　19歲的德國(guó)網(wǎng)絡(luò)安全研究員大衛(wèi)·科倫坡 (David Colombo) 偶然發(fā)現(xiàn)了他年輕職業(yè)生涯中最大的發(fā)現(xiàn)，掌握特斯拉公司車(chē)輛的所有數(shù)據(jù)，并能發(fā)送指令控制車(chē)輛。

　　他在為一家法國(guó)公司執(zhí)行安全審計(jì)時(shí)發(fā)現(xiàn)了一些不尋常的事情：該公司網(wǎng)絡(luò)上的一個(gè)軟件程序暴露了有關(guān)首席技術(shù)官特斯拉公司車(chē)輛的所有數(shù)據(jù)。這些數(shù)據(jù)包括汽車(chē)行駛地點(diǎn)的完整歷史記錄以及當(dāng)時(shí)的精確位置。

　　但這還不是全部。隨著科倫坡深入挖掘，他意識(shí)到他可以向車(chē)主正在使用該程序的特斯拉汽車(chē)發(fā)送命令。這種能力使他能夠劫持這些汽車(chē)的一些功能，包括打開(kāi)和關(guān)閉車(chē)門(mén)、打開(kāi)音樂(lè)和禁用安全功能。（但是，他無(wú)法接管汽車(chē)的轉(zhuǎn)向、制動(dòng)或其他操作。）

　　科倫坡本周在推特上發(fā)布的這一發(fā)現(xiàn)引發(fā)了網(wǎng)上的激烈討論，這是與所謂的物聯(lián)網(wǎng)相關(guān)的黑客風(fēng)險(xiǎn)的最新例子，似乎每一種產(chǎn)品——從冰箱到門(mén)鈴——現(xiàn)在都有互聯(lián)網(wǎng)連接.

　　“我不確定我是否會(huì)再次發(fā)送這條推文，”10 歲時(shí)開(kāi)始編程的科倫坡說(shuō)，“反應(yīng)很瘋狂。在評(píng)論的某個(gè)地方，我支持和反對(duì)特斯拉的爭(zhēng)論非常激烈。它剛剛得到了炸了這么多。”

　　科倫坡說(shuō)，他在歐洲和北美的 13 個(gè)國(guó)家發(fā)現(xiàn)超過(guò) 25 輛特斯拉汽車(chē)容易受到攻擊，隨后的分析表明可能還有數(shù)百輛。這些缺陷不在特斯拉的車(chē)輛或公司的網(wǎng)絡(luò)中，而是在一個(gè)允許他們收集和分析自己車(chē)輛數(shù)據(jù)的開(kāi)源軟件中。

　　特斯拉沒(méi)有回應(yīng)置評(píng)請(qǐng)求。科倫坡說(shuō)，公司安全團(tuán)隊(duì)的一名成員聯(lián)系了他，他分享了他的發(fā)現(xiàn)。美國(guó)國(guó)家公路交通安全管理局發(fā)言人表示，已就此事與特斯拉保持聯(lián)系，該機(jī)構(gòu)的網(wǎng)絡(luò)安全技術(shù)團(tuán)隊(duì)將協(xié)助評(píng)估和審查信息。

　　科倫坡提供了截圖和其他文件，詳細(xì)說(shuō)明了他的發(fā)現(xiàn)并確定了受影響的第三方軟件的制造商，但他要求彭博社不要公布細(xì)節(jié)，因?yàn)檫@些缺陷尚未修復(fù)。

　　一位來(lái)自 Dinkelsbühl 的自稱特斯拉粉絲——他將其描述為擁有“全德國(guó)最美麗的老城之一”——科倫坡說(shuō)他的母親在他 13 歲時(shí)患上了乳腺癌，他進(jìn)一步沉浸在編碼中幫助分散自己的注意力。（他說(shuō)，她于次年去世。）

　　厭倦了學(xué)校，他說(shuō)他和他的父親在他 15 歲時(shí)成功地向政府請(qǐng)?jiān)福试S他每周只去兩天，剩下的時(shí)間用來(lái)擴(kuò)展他的網(wǎng)絡(luò)安全技能并建立一家咨詢公司，他將其命名為 Colombo Technology .

　　“我不得不學(xué)習(xí)拉丁語(yǔ)和文學(xué)分析，我想，'為什么？我可以保護(hù)公司，建立安全的東西，'”他說(shuō)，并補(bǔ)充說(shuō)他認(rèn)為學(xué)校“是浪費(fèi)時(shí)間”。

　　科倫坡表示，他參與了幾個(gè)“漏洞賞金”——公司向獨(dú)立安全研究人員支付產(chǎn)品中發(fā)現(xiàn)的弱點(diǎn)的計(jì)劃——并為幫助他們?cè)u(píng)估安全性的公司提供咨詢。

　　這不是第一次披露涉及聯(lián)網(wǎng)汽車(chē)的潛在嚴(yán)重安全漏洞。2015 年，兩名安全研究人員披露了一次攻擊，當(dāng)《連線》雜志的一名記者在美國(guó)的高速公路上以每小時(shí) 70 英里的速度駕駛這輛車(chē)時(shí)，他們遠(yuǎn)程控制了一輛吉普切諾基并殺死了發(fā)動(dòng)機(jī)。由于連接互聯(lián)網(wǎng)的信息娛樂(lè)系統(tǒng)存在缺陷，導(dǎo)致該汽車(chē)制造商召回 140 萬(wàn)輛汽車(chē)和卡車(chē)——這是網(wǎng)絡(luò)安全問(wèn)題引發(fā)的第一次汽車(chē)召回。

　　從那時(shí)起，研究人員披露了他們發(fā)現(xiàn)的許多其他黑客風(fēng)險(xiǎn)，這些風(fēng)險(xiǎn)來(lái)自越來(lái)越多地添加到汽車(chē)中的復(fù)雜電子設(shè)備。

　　Jeep 黑客事件公開(kāi)后不久，另一對(duì)研究人員披露了特斯拉 Model S 中的軟件缺陷，這些缺陷可能使黑客能夠關(guān)閉行駛中的汽車(chē)引擎。研究人員與特斯拉協(xié)調(diào)，后者同時(shí)發(fā)布了軟件修復(fù)程序。

　　科倫坡說(shuō)，在披露他的發(fā)現(xiàn)之前，他能夠聯(lián)系到德國(guó)、美國(guó)和愛(ài)爾蘭的三位特斯拉車(chē)主。他在 Twitter 上向彭博社展示了一段私人對(duì)話的截圖，其中一位受影響的車(chē)主允許他遠(yuǎn)程按汽車(chē)?yán)纫源_認(rèn)漏洞。

　　他說(shuō)，在未能找到大多數(shù)其他特斯拉車(chē)主的數(shù)據(jù)被泄露的聯(lián)系信息后，他決定公布他的調(diào)查結(jié)果。

　　“我想向業(yè)主報(bào)告——這就是全部，”他說(shuō)。“因?yàn)槿绻也贿@樣做，也許懷有惡意的人會(huì)發(fā)現(xiàn)那些系統(tǒng)漏洞并做惡意的事情。想象一下，有人可以上特斯拉，打開(kāi)車(chē)門(mén)，然后開(kāi)車(chē)兜風(fēng)。”

編輯： yujeu