11 月 24 日消息 特斯拉汽車可以連接互聯(lián)網(wǎng)進(jìn)行 OTA 更新，以接收新功能和安全更新，但安全研究人員表示，汽車的聯(lián)網(wǎng)性也會帶來風(fēng)險(xiǎn)。

比利時(shí)研究人員發(fā)現(xiàn)，他們可以通過藍(lán)牙連接的密鑰，在幾分鐘內(nèi)入侵并偷走一輛特斯拉 Model X SUV。他們表示，這迫使特斯拉推出了一個(gè)修復(fù)方案。

這是比利時(shí)魯汶大學(xué) COSIC 小組的最新安全實(shí)驗(yàn)，該小組此前曾在特斯拉的 Model S 豪華轎車上發(fā)現(xiàn)了類似的漏洞。

研究人員表示，攻擊的第一部分只需 90 秒，利用特斯拉無鑰匙進(jìn)入系統(tǒng)中的一系列安全問題可成功進(jìn)入特斯拉車輛;然后就是進(jìn)入車內(nèi)的第二部分攻擊，他只需在儀表板下操作一分鐘，就可以注冊自己的車鑰匙，然后把車開走。

研究人員在 8 月 17 日向特斯拉公司通報(bào)了他們的發(fā)現(xiàn)，他們表示，特斯拉正在推出一項(xiàng)旨在解決這一問題的更新。

COSIC 研究小組的博士生 Lennert Wouters 在一封電子郵件中表示，這個(gè)問題不一定是特斯拉獨(dú)有的。“這個(gè)系統(tǒng)是由特斯拉內(nèi)部開發(fā)的，所以這個(gè)確切的漏洞很可能只適用于特斯拉 Model X，”他寫道，“然而，其他具有不安全的固件更新機(jī)制的密鑰也可能受到類似的攻擊。”

Wouters 指出，其中的關(guān)鍵漏洞包括：固件更新過程中缺乏 “加密簽名”，這意味著密鑰沒有安全的方式來證明更新是否合法;以及不安全的配對協(xié)議，允許一個(gè)新的、經(jīng)過修改的密鑰與 Model X 配對。

侵入汽車的設(shè)備包括一臺 35 美元的 Raspberry Pi 電腦、一個(gè)改裝過的密鑰和一個(gè)從 eBay 上買來的特斯拉 Model X 控制單元。研究人員利用備用控制單元，讓幾米內(nèi)的密鑰宣傳自己是 “可連接的”。Wouters 說，之后，他們向密鑰推送了一個(gè)軟件更新，可以 “獲取有效的解鎖信息”，以便以后可以解鎖汽車。他們指出，特斯拉鑰匙扣中的軟件可以在沒有額外的安全層來驗(yàn)證其真實(shí)性的情況下進(jìn)行更新。

“由于這種更新機(jī)制沒有得到適當(dāng)?shù)谋Ｗo(hù)，我們能夠以無線方式入侵密鑰，并完全控制它，”Wouters 在一份新聞稿中說，“隨后，我們可以獲得有效的解鎖信息，以便日后解鎖汽車。”

IT之家了解到，Lennert Wouters 表示，特斯拉已告訴他本周將開始推送軟件更新以應(yīng)對他的黑客攻擊。

關(guān)鍵詞：