转载:本文来自微信公众号“大数据文摘”(ID:BigDataDigest),作者:王烨,转载经授权发布。
想象一下,如果你嘅车停喺停车场,一架无人机悄悄飞过来,控制你嘅车载信息系统。
然后你嘅车门就打开……
呢個唔係拍电影,而是现实中可能发生嘅事。
喺CanSecWest会议上,一个视频描述一次针对特斯拉汽车嘅实验,两个研究人员针对特斯拉智能系统嘅漏洞,用无人机通过Wi-Fi发动攻击。
结果显示,无人机可以从100米嘅距离上成功控制特斯拉嘅信息娱乐系统,完成开车门、改变座位嘅位置、播放音乐、控制空气调节,并改变方向盘和加速模式等一系列动作。
点样用无人机入侵一辆特斯拉?
呢个被称为 TBONE 嘅远程攻击涉及到两个影响ConnMan嘅漏洞,ConnMan系一个车载嘅嵌入式设备嘅互联网连接管理器。
攻击者可以利用呢啲漏洞,喺没有任何用户交互嘅情况下,完全控制特斯拉嘅信息娱乐系统。
攻击者有可打得开车门和后备箱,改变座位嘅位置,包括方向盘和加速模式——简而言之,好似司机按控制台上嘅各种按钮一样,但是呢种攻击并唔可以使汽车失去驱动控制。
更可怕嘅是,呢一攻击可以通过无人机远程进行。
研究人员通过特斯拉信息娱乐系统嘅WiFi功能,无人机可以从100米(大约300英尺)以外嘅距离入侵一辆停住嘅特斯拉并打开车门,佢哋声称呢个漏洞对特斯拉Model S,3,X和Y型号都起到作用。
“喺TBONE中添加CVE-2021-3347等特权升级漏洞,将允许我哋喺特斯拉汽车中加载新嘅Wi-Fi固件,将其变成一个接入点,可以用来利用进入受害者汽车附近嘅第啲特斯拉汽车。但係,我哋并唔想将呢个漏洞变成蠕虫病毒。”
本来是准备拿大奖嘅,结果被新冠疫情耽误
呢一漏洞是由来自 Kunnamon 公司嘅安全研究人员 Ralf-Philipp Weinmann 和 comsecuriis GmbH 嘅 Benedikt Schmotzle 发现嘅。
本来发现呢一漏洞是奔住Pwn2Own 2020黑客大赛嘅汽车类别去嘅,但是因为新冠病毒嘅流行,主办方取消汽车类别,本来呢一类别嘅奖品就系一辆特斯拉汽车。
虽然没能参赛,但是研究人员还是将漏洞报告畀特斯拉,特斯拉也喺2020年10月下旬悄悄进行更新。
直到今年4月份,佢哋将呢一研究喺CanSecWest线上会议上进行演示,特斯拉嘅呢一漏洞才受到更多嘅关注。
呢一结果也被告知畀英特尔,因为该公司是ConnMan嘅原始开发者,但英特尔认为呢個唔係佢嘅责任。
另外,研究人员认识到ConnMan组件喺汽车行业被广泛使用,呢意味住类似嘅攻击也可以针对第啲车辆发动。
于是Weinmann和Schmotzle向德国嘅国家CERT寻求帮助,以通知可能受到影响嘅供应商,但目前尚唔清楚第啲制造商系咪已经采取行动回应研究人员嘅发现。
安全和智能该点样取舍?
特斯拉最近比较引人注目的是“刹车失灵”事件。
4月19日嘅上海车展上,河南安阳车主张女士身穿“刹车失灵”字样嘅T恤企喺特斯拉展台嘅一辆红色Model3车顶上,同时高呼“刹车失灵”。
事件是春节时张女士嘅驾驶特斯拉Model 3从景区驶出,行驶过程中遇红绿灯路口,驾驶员先是松开油门踏板,同之同行嘅车主立即听到父亲大叫一声,”刹车失灵”,且车辆没有任何安全提示。
紧接住,呢辆Model 3连撞两辆汽车之后,撞上路边嘅水泥护栏才将车停下来。后据交警裁决,Model 3喺本次事故中负全责。
张女士认为特斯拉需要为“刹车失灵”负责,但是特斯拉却否认车辆存喺“刹车失灵”,呢导致张女士一直喺维权路上,一直到车展事件。
呢一事件后来又因为特斯拉一系列失败嘅公关手段而喺互联网愈演愈烈,最终引发官媒下场点名,特斯拉品牌声誉也“一泻千里”。
唔过喺全民关注特斯拉自动驾驶技术系咪有问题嘅时候,汽车智能化嘅第啲方面也值得我哋关注。
正如文摘菌前几天报道嘅那样,随住汽车可以获取嘅数据越来越多,你嘅汽车可能也会成为监视你嘅工具。
另外就是今日跟大家聊嘅无人机远程控制汽车呢一实验。
呢啲都无时无刻唔喺提醒我哋,汽车越来越智能嘅趋势唔可避免,但是我哋嘅数据安全、财产安全甚至是生命安全系咪得到充分保证?安全和智能我哋该点样取舍?
或者说,我哋系咪有取舍嘅权力?
cantonese.live 足跡 粵字翻譯
请登录之后再进行评论