德國青少年科技天才發(fā)現(xiàn)能控制所有特斯拉車輛

2022-01-18 19:21?來源 溫州視線綜合

德國青少年科技天才發(fā)現(xiàn)能控制所有特斯拉車輛

　　19歲的德國網(wǎng)絡(luò)安全研究員大衛(wèi)·科倫坡 (David Colombo) 偶然發(fā)現(xiàn)了他年輕職業(yè)生涯中最大的發(fā)現(xiàn)，掌握特斯拉公司車輛的所有數(shù)據(jù)，并能發(fā)送指令控制車輛。

　　他在為一家法國公司執(zhí)行安全審計時發(fā)現(xiàn)了一些不尋常的事情：該公司網(wǎng)絡(luò)上的一個軟件程序暴露了有關(guān)首席技術(shù)官特斯拉公司車輛的所有數(shù)據(jù)。這些數(shù)據(jù)包括汽車行駛地點的完整歷史記錄以及當(dāng)時的精確位置。

　　但這還不是全部。隨著科倫坡深入挖掘，他意識到他可以向車主正在使用該程序的特斯拉汽車發(fā)送命令。這種能力使他能夠劫持這些汽車的一些功能，包括打開和關(guān)閉車門、打開音樂和禁用安全功能。（但是，他無法接管汽車的轉(zhuǎn)向、制動或其他操作。）

　　科倫坡本周在推特上發(fā)布的這一發(fā)現(xiàn)引發(fā)了網(wǎng)上的激烈討論，這是與所謂的物聯(lián)網(wǎng)相關(guān)的黑客風(fēng)險的最新例子，似乎每一種產(chǎn)品——從冰箱到門鈴——現(xiàn)在都有互聯(lián)網(wǎng)連接.

　　“我不確定我是否會再次發(fā)送這條推文，”10 歲時開始編程的科倫坡說，“反應(yīng)很瘋狂。在評論的某個地方，我支持和反對特斯拉的爭論非常激烈。它剛剛得到了炸了這么多。”

　　科倫坡說，他在歐洲和北美的 13 個國家發(fā)現(xiàn)超過 25 輛特斯拉汽車容易受到攻擊，隨后的分析表明可能還有數(shù)百輛。這些缺陷不在特斯拉的車輛或公司的網(wǎng)絡(luò)中，而是在一個允許他們收集和分析自己車輛數(shù)據(jù)的開源軟件中。

　　特斯拉沒有回應(yīng)置評請求。科倫坡說，公司安全團隊的一名成員聯(lián)系了他，他分享了他的發(fā)現(xiàn)。美國國家公路交通安全管理局發(fā)言人表示，已就此事與特斯拉保持聯(lián)系，該機構(gòu)的網(wǎng)絡(luò)安全技術(shù)團隊將協(xié)助評估和審查信息。

　　科倫坡提供了截圖和其他文件，詳細說明了他的發(fā)現(xiàn)并確定了受影響的第三方軟件的制造商，但他要求彭博社不要公布細節(jié)，因為這些缺陷尚未修復(fù)。

　　一位來自 Dinkelsbühl 的自稱特斯拉粉絲——他將其描述為擁有“全德國最美麗的老城之一”——科倫坡說他的母親在他 13 歲時患上了乳腺癌，他進一步沉浸在編碼中幫助分散自己的注意力。（他說，她于次年去世。）

　　厭倦了學(xué)校，他說他和他的父親在他 15 歲時成功地向政府請愿，允許他每周只去兩天，剩下的時間用來擴展他的網(wǎng)絡(luò)安全技能并建立一家咨詢公司，他將其命名為 Colombo Technology .

　　“我不得不學(xué)習(xí)拉丁語和文學(xué)分析，我想，'為什么？我可以保護公司，建立安全的東西，'”他說，并補充說他認為學(xué)校“是浪費時間”。

　　科倫坡表示，他參與了幾個“漏洞賞金”——公司向獨立安全研究人員支付產(chǎn)品中發(fā)現(xiàn)的弱點的計劃——并為幫助他們評估安全性的公司提供咨詢。

　　這不是第一次披露涉及聯(lián)網(wǎng)汽車的潛在嚴重安全漏洞。2015 年，兩名安全研究人員披露了一次攻擊，當(dāng)《連線》雜志的一名記者在美國的高速公路上以每小時 70 英里的速度駕駛這輛車時，他們遠程控制了一輛吉普切諾基并殺死了發(fā)動機。由于連接互聯(lián)網(wǎng)的信息娛樂系統(tǒng)存在缺陷，導(dǎo)致該汽車制造商召回 140 萬輛汽車和卡車——這是網(wǎng)絡(luò)安全問題引發(fā)的第一次汽車召回。

　　從那時起，研究人員披露了他們發(fā)現(xiàn)的許多其他黑客風(fēng)險，這些風(fēng)險來自越來越多地添加到汽車中的復(fù)雜電子設(shè)備。

　　Jeep 黑客事件公開后不久，另一對研究人員披露了特斯拉 Model S 中的軟件缺陷，這些缺陷可能使黑客能夠關(guān)閉行駛中的汽車引擎。研究人員與特斯拉協(xié)調(diào)，后者同時發(fā)布了軟件修復(fù)程序。

　　科倫坡說，在披露他的發(fā)現(xiàn)之前，他能夠聯(lián)系到德國、美國和愛爾蘭的三位特斯拉車主。他在 Twitter 上向彭博社展示了一段私人對話的截圖，其中一位受影響的車主允許他遠程按汽車喇叭以確認漏洞。

　　他說，在未能找到大多數(shù)其他特斯拉車主的數(shù)據(jù)被泄露的聯(lián)系信息后，他決定公布他的調(diào)查結(jié)果。

　　“我想向業(yè)主報告——這就是全部，”他說。“因為如果我不這樣做，也許懷有惡意的人會發(fā)現(xiàn)那些系統(tǒng)漏洞并做惡意的事情。想象一下，有人可以上特斯拉，打開車門，然后開車兜風(fēng)。”

編輯： yujeu