两分钟就可以偷走一辆Model X:特斯拉将推更新修复
特斯拉汽车能够联接互联网技术开展 OTA 升级,以接受新作用和安全补丁,但是一些安全性研究工作人员表明,汽车的连接网络性实际上会产生一定的风险性。丹麦研究工作人员发觉,她们能够根据手机蓝牙的密钥,在十多分钟内侵入并盗走一辆特斯拉 Model X SUV。她们表明,这驱使特斯拉发布了一个恢复计划方案。
2分钟就可以盗走一辆Model X:特斯拉将推升级恢复
它是丹麦鲁汶大学 COSIC 工作组的全新安全性试验,该工作组先前曾在特斯拉的 Model S 豪华汽车上发觉了相近的系统漏洞。
研究工作人员表明,进攻的第一部分只需 90 秒,利用特斯拉无匙进入系统软件中的一系列安全隐患可取得成功进到特斯拉车子;随后便是进到车里的第二一部分进攻,他只需在汽车仪表板下实际操作一分钟,就可以申请注册自身的汽车钥匙,随后把车提走。
研究工作人员在 8 月 17 向特斯拉企业通告了她们的发觉,她们表明,特斯拉已经发布一项致力于处理这一难题的升级。
COSIC 研究工作组的博士研究生 Lennert Wouters 在一封电子邮件中表明,这个问题不一定是特斯拉特有的。“这一系统软件是由特斯拉內部开发设计的,因此 这一准确的系统漏洞很可能只适用特斯拉 Model X,”他写到,“殊不知,别的具备不安全的固定件升级体制的密钥也很有可能遭受相近的进攻。”
Wouters 强调,在其中的重要系统漏洞包含:固定件更新过程中欠缺 “数据加密签字”,这代表着密钥沒有安全性的方法来证实升级是不是合理合法;及其不安全的匹配协议书,容许一个新的、历经改动的密钥与 Model X 匹配。
入侵汽车的机器设备包含一台 35 美金的 Raspberry Pi 电脑上、一个改裝过的密钥和一个从 eBay 上买回来的特斯拉 Model X 操纵模块。研究工作人员利用预留操纵模块,让多少米内的密钥宣传策划自身是 “可联接的”。Wouters 说,以后,她们向密钥消息推送了一个系统更新,能够 “获得合理的开启信息内容”,便于之后能够开启汽车。她们强调,特斯拉钥匙环中的手机软件能够在沒有附加的安全性层来认证其真实有效的状况下开展升级。
“因为这类升级体制沒有获得适度的维护,大家可以以无线网络方法侵入密钥,并良好控制它,”Wouters 在一份新闻稿件上说,“接着,我们可以得到 合理的开启信息内容,便于今后开启汽车。”
Lennert Wouters 表明,特斯拉已对他说这周将刚开始消息推送系统更新以解决他的黑客入侵。