在8月1日至6日举行的美国拉斯维加斯黑帽信息安全大会上,有两名研究人员公布了特斯拉ModelS系统存在的六个重大安全漏洞,并通过其中一个漏洞实现对车辆的控制,以及在低速行驶状态下迫使其熄火。
8月7日,特斯拉向21世纪经济报道记者确认了ModelS被入侵和操控的事实:“我们注意到了一些媒体关于Lookout信息安全公司破解特斯拉的一些报道。”
当天,特斯拉紧急发布六条回应,其中一条否认特斯拉被远程入侵,而是通过物理接触:“ModelS并不是被远程入侵的,Lookout研究团队花费了很多时间研究ModelS可入侵的漏洞,并且是在ModelS真车上进行的漏洞测试(即物理接触,如接入汽车的电路),并不是采用远程攻击的方式。”
特斯拉素以智能汽车著称,一度定位为一家科技公司而非汽车公司。但汽车的安全性要求非常高,直接关系人的生命安全。智能科技与汽车的结合,不像手机、电视机等其他电子产品一样环境宽松。
特斯拉车辆系统被网络安全人员攻破,去年在国内曝光的也有两次,分别被360团队和白帽黑客KeenTeam破解,并远程控制车辆。特斯拉当时做出了回应。
“绝大多数系统都有漏洞,理论上都可以被攻破。”一家IT公司的软件工程师对21世纪经济报道记者称。这次特斯拉被远程控制,不是开始也不是结束。
系统漏洞无法根治
特斯拉的科技范,就是将汽车更大范围地IT化,娱乐系统和操控系统都大量利用IT系统优化,是目前市面上IT化最广的汽车。
ModelS其实就像一个智能移动终端;它采用全电子控制的方式,是当今世界唯一一辆可以通过远程系统升级改变、提升整车性能的汽车。这被特斯拉称为空中升级。特斯拉车内设置有感应器和芯片,它可以做到完整地去升级一些新的功能。
“它更像一个智能的硬件,好像iPhone,不需要换一个新的手机,但是操作系统却在不断升级,是同样一个道理。”特斯拉的一位内部人士称。
不过,自特斯拉诞生起,业内一直怀疑汽车用IT系统控制会导致不安全,因为它容易遭受黑客的攻击。
担心很快就被证实。去年7月15日,360公司称其发现了特斯拉ModelS型汽车的应用程序流程存在设计缺陷,攻击者利用这个漏洞,可远程控制车辆,实现开锁、鸣笛、闪灯、开启天窗等操作。
特斯拉承认了被360破解的事实,紧急做出回应称,将致力于与安全研究人员共同合作,并采取快速行动进行应对和修复。
但三个月后,白帽黑客KeenTeam举办的GeekPwn智能设备挑战赛再次宣布破解特斯拉,现场演示了对行驶状态中汽车的操控,由前行转为倒车,实现无人驾驶。
特斯拉汽车安全漏洞管理部门意识到问题很严重,在去年的拉斯维加斯黑帽大会开始大量招募黑客,以发现特斯拉的安全漏洞。
但问题无法彻底解决。据英国《金融时报》报道,今年的黑帽大会上,网络安全研究人员在特斯拉ModelS上发现了六个重大安全漏洞,其中一个控制车辆,迫使车辆低速状况下熄火。
这令特斯拉很沮丧。因为尽管特斯拉称“和这些研究组织一直保持紧密联系”,但全球的网络安全研究人员不计其数,特斯拉不可能一一保持接触。而且IT人士认为,世界上没有完全没有漏洞的系统。
