黑客大赛惊现汽车项目 特斯拉却向黑客伸出“橄榄枝”
Pwn2Own作为全世界最著名、奖金最丰厚的黑客大赛,其由美国五角大楼网络安全服务商、惠普旗下Tipping Point的项目组ZDI(Zero Day Initiative)主办,谷歌、微软、苹果、Adobe等互联网和软件巨头都对比赛提供支持,通过黑客攻击挑战来完善自身产品。
而在在今年即将举行的Pwn2Own上,新增了汽车类别;据最新消息显示,特斯拉将把旗下车型参展Pwn2Own大赛,以让黑客寻找车型软件中的漏洞。特斯拉表示,若网络安全研究人员可以侵入特斯拉汽车并找到其中的软件漏洞,公司将增出一辆Model 3作为奖励。这不仅是特斯拉首次加入黑客大赛,也是汽车类首次出现在Pwn2Own上。
汽车智能化加快,漏洞百出
早在2017年4月,国内便发布《汽车产业中长期发展规划》,规划显示:智能汽车将成为未来发展的重点内容,并明确了不同等级智能驾驶系统;而且值得一提的是,规划中明确提出2020年和 2025年的新车装配智能化的占比率,2020年国内智能网联汽车新车占比将达到50%;届时每年将有上千万辆智能汽车投放市场,中国也将进而成为智能网联汽车第一大国。
的确,智能化的趋势已经不得阻挡,但是随着智能网联汽车大批量的面向市场,其中存在很多信息安全漏洞也逐渐扩大。目前,已经被发现的漏洞涉及TSP(内容服务提供商)平台、APP应用、Telematics Box(T-BOX)上网系统、车机IVI系统CAN-BUS车内总线等各个领域和环节。这些漏洞有的可以远程控制汽车,甚至可以对人身造成伤害;而这一系列安全漏洞不禁让人唏嘘:汽车智能化的安全之路在何方?
未能独善其身,特斯拉成重灾地
而作为电动化、智能化的楷模——特斯拉,一直都是黑客们优先“输出”的对象。这还得从特斯拉Model S首发开始说起,自特斯拉Model S首发便成了黑客、白帽黑客(揭示漏洞的正能量黑客)以及网络信息安全工作室的攻击主要目标;我们不妨来看看特斯拉的“血泪史”。
2014年10月,上海的信息安全团队Keen Team曾公开演示对特斯拉的远程控制,在特斯拉正常行驶过程中,让其强制倒车。而在特斯拉修复漏洞后,2016年,腾讯旗下科恩实验室宣布以远程方式侵入特斯拉汽车,这也是全球首次无物理接触入侵汽车系统,颇有点黑客帝国的意思。在2017年,特斯拉Model 3发布期间,科恩实验室又在Pwn2Own宣布实现远程控制Model X。
当然,特斯拉一直都是身处网络安全的漩涡之中,除了这三大事件之外,特斯拉手机端APP、智能钥匙、Model 3智能卡也成为攻击的对象。2018年初,Model 3“工厂模式”被黑入时看的出智能汽车在遭受物理攻击的不安全;去年11月29日,国外视频网站“Reddit”上疯传一段视频;视频中一位昵称“trsohmers”的黑客演示了在自家Model 3上通过外接笔记本电脑植入Ubuntu(友邦拓)操作系统。
【写在最后】
其实早在2014年,特斯拉就推出了悬赏寻找汽车软件漏洞的项目,奖励那些发现并上报漏洞的黑客,从而与黑客社区建立了公共关系。此次特斯拉参展Pwn2Own事件,特斯拉车辆软件副总裁大卫·刘(David Lau)在声明中说道:如今随着越来越多的车辆接入互联网,车辆中的软件漏洞更容易受到攻击,所以这种悬赏项目其实在科技行业非常普遍。或许特斯拉早就明白中国的一句古话:堵不如疏;而在未来智能化普及的过程中,特斯拉无疑将会得到一大助力。