Exploiting a bug in Teslas that have third-party software installed, a young IT security researcher named David Colombo found that he could access things like the remote camera system, door locks, windows, and could pinpoint their location. pic.twitter.com/56P64hByWJ
继因硬件问题大规模召回后,特斯拉又被曝出软件 Bug。
近日,来自德国的 19 岁黑客 David Colombo 在社交媒体上发文,称发现了特斯拉第三方软件的漏洞,并通过该漏洞远程入侵了 13 个国家的超 25 辆特斯拉车辆。
据悉,成功入侵车辆后,David 可以远程控制车窗、车门、灯光、音乐等,甚至可以实现 " 无钥匙驾驶 ",此外,还可以查询到这些车辆的具体位置和车主是否在车辆附近。
也就是说,如果车辆在高速行驶时被控制,将给驾驶员和其他车辆带来巨大的事故风险。
David 并未在社交媒体上透露特斯拉漏洞的具体细节,但他表示,自己并不是通过入侵特斯拉的安全系统来控制车辆的,而是第三方软件的漏洞。因此严格来说,这是车主的失误,而非特斯拉。
目前,特斯拉的安全团队正调查这起事件,并将很快与 David 联系。
这并不是特斯拉第一次因非硬件问题导致安全性受质疑。
例如去年 4 月,一名黑客提取到特斯拉车内摄像头的拍摄画面并公布在网络上,从画面中可以看到,摄像头清晰拍摄到了车内人员的面容、动作。彼时特斯拉解释称,这主要是为了记录 FSD Beta 车主在测试过程中的动作和行为,以及是否保持注意力集中,并没有大规模使用该功能,但依旧引起了不小的争议。
汽车智能化程度不断提高,亦意味着对网络、云端的要求和驾驶员隐私的索取将越来越多,如存在漏洞,将对驾驶安全和车主带来巨大危害,作为自动驾驶、智能化的主要先行者之一,特斯拉自然成为了 " 重灾区 "。
早在去年 1 月,360 创始人周鸿祎就表示,团队发现 2017 年以后出厂的特斯拉汽车存在安全漏洞,可以被远程控制,但当自己将此告诉马斯克时,却惹恼了后者。
其实,马斯克并不是不清楚安全屏障的脆弱性和重要性。
特斯拉在 2014 年就启动了漏洞赏金计划,即网络安全研究人员可以向公司报告产品的漏洞,如通过查验属实,将获得一定数额的奖金。2018 年,特斯拉将每个漏洞的最高奖励提高至 1.5 万美元,据悉已经发放了数十万美元的奖励。
对于被查验出来的漏洞,特斯拉的处理也十分迅速。例如,2016 年有黑客通过 WiFi 热点远程入侵特斯拉 Model S,特斯拉在接到报告后第一时间便进行了升级和修复。
当然,除了特斯拉,其他车企也被黑客 " 上过课 ",例如,2015-2016 年,比亚迪、宝马、Jeep 等多家车企均被入侵,近几年的入侵事件则相对较少,蔚来、小鹏等造车新势力也基本没有经历过类似被黑客控制的事件。
此前业内专家接受媒体采访时表示,造车新势力们安全意识相对较高,研发供应链链条短很多,自己掌握的车辆代码更多,因此相对安全。
但随着车联网、智能驾驶的渗透率和使用率不断提高,对技术、供应链和第三方组件的挑战也就更大,这需要车企和供应商们加强合作,同时,也需要车主有一定安全意识,谨慎选择使用第三方软件。