特斯拉被黑客无人机入侵

安全 应用安全
毫无疑问,随着汽车的数字化,留给黑客的攻击面也迅速扩大,这将带来重大的网络安全风险,从而威胁到车辆安全、消费者的隐私甚至生命。

如今,一辆汽车包含多达150个电子控制单元和大约1亿行软件代码,是战斗机的四倍,而随着自动驾驶技术的发展,汽车的代码量有望在10年内再增长两倍。毫无疑问,随着汽车的数字化,留给黑客的攻击面也迅速扩大,这将带来重大的网络安全风险,从而威胁到车辆安全、消费者的隐私甚至生命。

[[397565]]

近日,安全研究者使用无人机远程利用“零点击漏洞”成功入侵了特斯拉,不但能够打开车门,而且还能完全控制车载娱乐系统。所谓的“零点击”利用,指的是无需用户交互的、最高效和危险的攻击手法(漏洞利用)。

来自安全公司Kunnamon的安全研究人员Ralf-Philipp Weinmann和来自Comsecuris的Benedikt Schmotzle近日宣布在特斯拉汽车中的开源软件组件(ConnMan)中发现了远程零点击安全漏洞,使他们可以黑入停放的特斯拉汽车并通过WiFi的系统控制其信息娱乐系统,该攻击被命名为TBONE(一种车祸类型)。

[[397566]]

攻击者可以远程打开车门和行李箱、调整座椅位置、设置转向和加速模式等。简而言之,就是黑客能完成驾驶员在中控屏幕上操纵按钮所能做的所有事情。

两名研究人员从一架无人机上成功发起攻击,证明黑客可在无需任何用户交互的情况下,对特斯拉汽车(可能还包括其他使用类似开源组件的汽车)实施远程入侵。

以上是Ralf-Philipp Weinmann和Benedikt Schmotzle去年的研究成果,最初计划用来参加Pwn2Own 2020黑客大赛,该竞赛为黑客入侵特斯拉提供了一辆汽车和奖金作为奖励。但后来Pwn2Own组织者决定暂时取消汽车类别,研究人员于是选择通过漏洞赏金计划将漏洞报告给特斯拉。

这个被称为TBONE的攻击涉及对两个漏洞的利用,这些漏洞来自嵌入式设备的互联网连接管理器ConnMan。攻击者可以利用这些漏洞来完全控制Tesla的信息娱乐系统,而无需任何用户交互。

利用这些漏洞,黑客可以执行普通车主能够在信息娱乐系统上执行的任何操作。其中包括打开门、更改座椅位置、播放音乐、控制空调以及修改转向和加速模式。但是,研究人员解释说:“尽管如此,这种攻击并不能接管汽车的驾驶控制。”

研究者展示了如何使用无人机通过(特斯拉车载)Wi-Fi发起攻击,以入侵停放的特斯拉汽车并在100米外远程打开车门。研究者声称,该漏洞利用对特斯拉S、3、X和Y等主要车型都起作用。

“远程+零点击”还不是最可怕之处,据研究人员透露,该漏洞利用还可被武器化成蠕虫病毒。

研究者指出:“向TBONE添加特权升级漏洞,例如CVE-2021-3347,将使黑客能够在特斯拉汽车中加载新的Wi-Fi固件,将其变成可攻击其他特斯拉汽车的访问点。但是,我们不想将这种攻击武器化为蠕虫。”

据报道,特斯拉已停止使用ConnMan并于2020年10月推出了更新程序,对该漏洞进行了修补。ConnMan的原始开发商是英特尔公司,但研究人员透露,英特尔并不认为是自己的责任。

虽然特斯拉弃用了ConnMan,但由于ConnMan组件已在汽车工业中广泛使用,这可能意味着特斯拉修复的漏洞在汽车行业依然存在,黑客也可以对其他车辆发起类似TBONE的攻击。

据悉,Weinmann和Schmotzle向德国国家CERT寻求帮助,以帮助告知可能受到影响的汽车供应商,但目前尚不清楚其他制造商是否已针对研究人员的发现采取了行动。

研究人员在今年早些时候的CanSecWest会议上介绍了他们的发现,包括使用无人机入侵特斯拉的视频。

在过去的几年中,曾有多家网络安全公司的研究人员已经证明,特斯拉可以被黑客入侵,甚至在许多情况下可以被远程入侵。随着电动汽车和自动驾驶汽车的快速崛起,汽车行业的网络攻击面正在不断扩大,安全威胁不断升级,用户面临的数据隐私、财产甚至人身安全威胁也比智能手机时代更为严峻。

参考资料:https://www.youtube.com/watch?v=krSj81thN0w&feature=emb_imp_woyt

【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】

戳这里,看该作者更多好文 

 

 

责任编辑:赵宁宁 来源: 51CTO专栏
相关推荐

2021-04-19 16:39:59

无人机人工智能AI

2012-07-05 10:14:21

2015-10-09 11:37:08

2015-10-26 00:08:02

2017-06-30 15:45:33

消费

2021-02-22 11:34:21

黑客网络安全网络攻击

2014-03-25 09:42:42

2021-12-23 10:38:00

人工智能AI无人机

2023-05-04 11:35:15

无人机

2021-01-11 13:27:55

无人机通信技术

2015-05-25 16:35:22

CES

2011-09-01 15:00:35

2011-01-05 16:19:34

2020-12-10 14:36:09

黑客网络安全网络攻击

2015-06-23 14:57:08

深圳市国通广告有限公司

2023-05-19 16:43:10

移植无人机鸿蒙

2021-01-03 20:05:02

美国无人机牌照

2021-05-28 13:24:46

无人机人工智能AI

2023-11-24 17:20:41

无人机无人驾驶飞行器
点赞
收藏

51CTO技术栈公众号