從事網(wǎng)絡(luò)安全研究的 19 歲德國男孩 David Colombo 最近有一個大發(fā)現(xiàn)。
他在為一家法國公司進行安全審查時注意到,該公司網(wǎng)絡(luò)中的一個軟件程序泄露了公司 CTO 所駕駛的特斯拉的所有數(shù)據(jù),包括這輛車的駕駛記錄和當時的精確位置。
但這還沒完,隨著調(diào)查的深入,Colombo 意識到,他可以向使用該程序的特斯拉推送指令。這就使得他能夠劫持車上的一些功能,包括打開和關(guān)閉車門 / 車窗、調(diào)高音樂、播放視頻、開啟無鑰匙駕駛和禁用安全功能等。但是,他無法控制汽車的轉(zhuǎn)向、制動等操作。
Colombo 的發(fā)現(xiàn)在推特上引發(fā)了熱烈討論。在物聯(lián)網(wǎng)設(shè)備無處不在的今天,網(wǎng)絡(luò)安全問題牽動著每一個人的神經(jīng)。
在 1 月 11 日發(fā)布的推特上,Colombo 表示,他已經(jīng)可以向 13 個國家的至少 25 輛汽車上推送指令。后續(xù)的分析表明,這一數(shù)字可以擴大到數(shù)百輛。
值得注意的是,這些缺陷并不存在于特斯拉的汽車或特斯拉的網(wǎng)絡(luò)上,而是存在于一款可以收集和分析自己汽車數(shù)據(jù)的開源軟件上。
在發(fā)現(xiàn)這些問題之后,Colombo 聯(lián)系了特斯拉的安全團隊。他向該團隊提供了截圖和其他文件,詳細解釋了他的發(fā)現(xiàn),并確定了受影響的第三方軟件的制造商,但未向媒體公布細節(jié)。該團隊隨即開始了調(diào)查。美國國家公路交通安全管理局發(fā)言人也表示,已就此事與特斯拉保持聯(lián)系,該機構(gòu)的網(wǎng)絡(luò)安全技術(shù)團隊將協(xié)助評估和審查信息。
由于 Colombo 并沒有提供該軟件的詳細信息,所以推特用戶正在做出自己的猜測。比如有很多人就將特斯拉數(shù)千個認證 token 過期的事情與該事件聯(lián)系在一起。
但特斯拉解釋說,Colombo 所報告的漏洞涉及另一個平臺。由于該平臺使用了 V2 Tesla token,而這些 token 都已經(jīng)過期了,所以沒有 TezLab 用戶因為 David 帖子中所說的漏洞而面臨風險。
Teslascope 創(chuàng)始人 Tyler Corsair 也在推特上澄清道:「Colombo 提到的那些用戶使用了一個名為 Teslamate 的開源項目,然后錯誤地對其進行了配置(部分原因是開發(fā)人員設(shè)置了錯誤的默認配置),因此任何人都可以遠程訪問它。」在接到報告之后,他們已經(jīng)推出了補丁。
10 歲開始編程,15 歲創(chuàng)辦公司
根據(jù)領(lǐng)英個人頁面的介紹,Colombo 專攻網(wǎng)絡(luò)安全方向。他聲稱「在 10 歲時編寫了第一段代碼」,他的公司目標是「幫助每個企業(yè)免受網(wǎng)絡(luò)空間中不斷發(fā)展的威脅行為者的影響」。
母親在他 13 歲那年患上了乳腺癌,并于次年去世,他選擇進一步沉浸在編程中,以分散自己的注意力。
厭倦了學校的節(jié)奏之后,他和父親在自己 15 歲那年成功申請到特批,允許他每周只去兩天學校,剩下的時間用來擴展網(wǎng)絡(luò)安全技能,并建立了一家名為 Colombo Technology 的咨詢公司。
「我不得不學習拉丁文和文學分析,然后我就在想,為什么?我可以專注安全方面的東西保護公司,」他說,并補充說他認為學?!甘窃诶速M時間」。
Colombo 說,他參與了幾個「漏洞賞金」計劃,一些公司會向獨立安全研究人員懸賞發(fā)現(xiàn)產(chǎn)品中弱點的計劃,并向幫助他們評估安全性的公司尋求咨詢。
網(wǎng)聯(lián)汽車有多脆弱?
當然,這并不是網(wǎng)絡(luò)安全人員第一次披露涉及網(wǎng)聯(lián)汽車的潛在嚴重安全漏洞。2015 年,兩名安全研究人員披露了一次攻擊,《連線》雜志的一名記者在美國的高速公路上以每小時 70 英里的速度駕駛這輛車時,他們遠程控制了一輛吉普切諾基并關(guān)停了其引擎。由于連接互聯(lián)網(wǎng)的信息娛樂系統(tǒng)存在缺陷,該汽車制造商召回了 140 萬輛汽車和卡車,這是網(wǎng)絡(luò)安全問題引發(fā)的第一次汽車召回事件。
從那時起,研究人員開始披露他們發(fā)現(xiàn)的許多其他黑客風險,這些風險越來越多地來自汽車的復雜電子設(shè)備之中。
Jeep 黑客事件曝光后不久,另一組研究人員披露了特斯拉 Model S 中的軟件缺陷,這些缺陷可能使黑客能夠關(guān)閉行駛中的汽車引擎。研究人員與特斯拉協(xié)調(diào)后,后者發(fā)布了軟件修復程序。
2020 年,特斯拉 Model X 的自動駕駛儀多次被黑客入侵。在一個研究案例中,以色列本古里安大學的研究人員通過在道路、墻壁或標志上閃爍「幻影」圖像來欺騙汽車,使其意外剎車或轉(zhuǎn)向錯誤的方向。
幾個月后,比利時魯汶大學的研究員 Lennert Wouters 在 90 秒內(nèi)「偷走了」一輛特斯拉 Model X。
去年秋天的 2021 世界新能源汽車大會上,馬斯克曾承諾,他將與監(jiān)管機構(gòu)合作,確保電動汽車擁有者的個人數(shù)據(jù)免受黑客威脅。
「隨著自動駕駛技術(shù)的快速發(fā)展,車輛的數(shù)據(jù)安全比以往任何時候都受到更多公眾的關(guān)注,」馬斯克表示。到 2025 年,估計將有 4.7 億輛汽車連接到計算機化的數(shù)據(jù)庫,這使它們成為網(wǎng)絡(luò)犯罪分子的成熟目標。
Colombo 表示,在披露自己的發(fā)現(xiàn)之前,他聯(lián)系到了德國、美國和愛爾蘭的三位特斯拉車主。他在 Twitter 上展示了一段私人對話的截圖,其中一位受影響的車主允許他遠程按汽車喇叭,以確認漏洞的存在。
在未能找到大多數(shù)其他數(shù)據(jù)被泄露的特斯拉車主的聯(lián)系信息后,他決定公布自己的發(fā)現(xiàn)。
「我想向車主提個醒,這就是初衷,」他說?!敢驗槿绻也贿@樣做,也許有惡意的人會發(fā)現(xiàn)那些系統(tǒng)漏洞,并做出一些目的不良的事情。想象一下,有人可以控制你的特斯拉,打開車門,然后開車兜風?!?/p>
參考鏈接:https://cacm.acm.org/news/257853-teen-cyber-prodigy-stumbled-onto-flaw-letting-him-hijack-teslas/fulltext
本文來自微信公眾號“機器之心”(ID:almosthuman2014),36氪經(jīng)授權(quán)發(fā)布。
- 失守3000點!滬指重挫逾5%創(chuàng)兩年來最大單日跌幅 兩市跌停股票超700只
- 一季度西安市地區(qū)生產(chǎn)總值同比增2.8% 第一產(chǎn)業(yè)增加值增長4.4%
- 今年以來露營活動火爆“出圈” 露營從專業(yè)小眾走向休閑大眾
- 香港47人被控"串謀顛覆國家政權(quán)罪" 法官首次披露:11人擬認罪
- 日本沖繩水壩發(fā)現(xiàn)千余枚啞彈 皆為美國制造
- 中新網(wǎng)評:“動態(tài)清零”就是不放棄任何一個群體
- 國臺辦:在滬臺商臺企踴躍捐款捐物 捐贈物資及現(xiàn)金合計超1097萬元
- 看抗疫“高亮瞬間”一秒變漫畫
- 俄羅斯別爾哥羅德州一座彈藥庫起火 現(xiàn)場傳出疑似爆炸聲
- 【數(shù)據(jù)圖解】一季度經(jīng)濟運行亮點丨交通運輸經(jīng)濟運行總體實現(xiàn)平穩(wěn)開局
- “中國在全球復蘇中發(fā)揮著重要作用”
- 一季度國家開發(fā)銀行211億元貸款支持物流流通體系建設(shè)
- 文旅部組織開展文化和旅游市場打擊整治養(yǎng)老詐騙專項行動
- 上海外籍志愿者抗疫故事?
- MOBA游戲地圖受著作權(quán)法保護嗎
- 一秤一尺,丈量中國誠信
- 臺媒稱臺軍方將延長太平島跑道供戰(zhàn)機起降 國臺辦斥:玩火
- 德國火上澆油:向烏克蘭提供重武器 退役防空坦克射程6公里
- 臺防務(wù)部門首次對美國售臺武器提出“四不買” 國臺辦:挾洋謀獨
- 日本消費者物價持續(xù)暴漲 民眾叫苦不迭
- 山東菏澤鄆城縣市場監(jiān)管局開展兒童用品專項執(zhí)法檢查
- 呼和浩特市托縣扎實推進食品安全社會建設(shè) 解決人民
- 浙江溫州出臺助推市場主體穩(wěn)進提質(zhì)20條措施 持續(xù)優(yōu)
- 浙江舟山高新區(qū)實現(xiàn)食品生產(chǎn)企業(yè)“浙食鏈”“陽光工
- 湖北十堰市場監(jiān)管局開展小餐飲規(guī)范提升治理工作 具
- 上海全面加強疫情期間食安監(jiān)管 確保保供生活物資質(zhì)
- 杭州臨平區(qū):創(chuàng)建市場疫情防控“三色”預警分類管理
- 河北保定市場監(jiān)管局創(chuàng)新應(yīng)用信用分級分類監(jiān)管 提高
- 三明市局開展“五一”節(jié)前特種設(shè)備安全檢查 確保人
- 三明市局開展“五一”節(jié)前特種設(shè)備安全檢查 提高應(yīng)
- 1 失守3000點!滬指重挫逾5%創(chuàng)兩年來最大單日跌幅 兩
- 2 一季度西安市地區(qū)生產(chǎn)總值同比增2.8% 第一產(chǎn)業(yè)增加
- 3 今年以來露營活動火爆“出圈” 露營從專業(yè)小眾走向
- 4 香港47人被控"串謀顛覆國家政權(quán)罪" 法官首次披露:
- 5 日本沖繩水壩發(fā)現(xiàn)千余枚啞彈 皆為美國制造
- 6 中新網(wǎng)評:“動態(tài)清零”就是不放棄任何一個群體
- 7 國臺辦:在滬臺商臺企踴躍捐款捐物 捐贈物資及現(xiàn)金
- 8 看抗疫“高亮瞬間”一秒變漫畫
- 9 俄羅斯別爾哥羅德州一座彈藥庫起火 現(xiàn)場傳出疑似爆
- 10 【數(shù)據(jù)圖解】一季度經(jīng)濟運行亮點丨交通運輸經(jīng)濟運行