黑客入侵特斯拉：发送“自杀”式命令

　　在完成固件的破解之后，就意味着安全人员具备操作特斯拉更多的权限。所有的ModelS中都内置WiFi连接模块。这些汽车在出厂之前就经过编程自动连接到任意特斯拉服务中心的无线网络中，而这些自然无线网络自然会命名为“TeslaServices”并使用静态的网络密钥。通过欺骗“TeslaServices”网络，这些操作显然并不复杂，安全专家现在成功通过无线连接到汽车。

　　通过这两项漏洞的结合，无线连接、通过SD卡上发现数字汽车密钥数据、连接到特斯拉服务器的物理VPN连接，几乎允许安全人员完全访问称之为QtCarVehicle的汽车服务，而且汽车所有功能都可以被控制。

　　在研究人员取得了对ModelS的供电和车载网络的控制权后，汽车将不再通过以太网发送任何原始总线数据，所以他们无法访问除特斯拉自主合法API允许以外的任何数据。尽管汽车在低速行驶时能够被锁定，但是在时速5英里以上速度行驶时，ModelS的安全系统将会让驾驶人控制方向盘、刹车，不会实施紧急刹车，但油门和信息娱乐系统依旧无法使用。

　　马哈菲和罗杰斯的演示显示，尽管ModelS并非不可攻破，但其信息娱乐系统的设计十分精良和安全。如果不能实现对汽车的持续物理访问，那么大部分入侵方法都无法奏效。特斯拉已经发布了补丁，封锁本地存储的低安全密码和固件升级漏洞。通过OTA升级，特斯拉可以在一周内面向所有汽车推送更新。

　　特斯拉还建立了一个漏洞奖励项目，以回馈发现ModelS信息娱乐系统漏洞的研究人员，并在近期将最高奖励金额提升到了1万美元。

　　编辑视点：

　　狼叫兽最近说工业4.0时代已经到来，而汽车工业还停留在2.0状态，这让晃晃老湿忽然想起之前业内讨论较多的关于智能车的安全问题。

　　博世对汽车未来的发展归纳出了三个重要方向：电气化、自动化、互联化。现在来看，三者皆与安全密切相关，电气化通过车载系统计算车辆负债等信息，将车辆运行参数设定在最适合的状态，这本是改善行车体验的好技术，但涉及面太广，包括驱动、控制、转向、能量回收等，几乎掌控着行车所涉及的所有面。其他两项的情况也类似。

　　这就让人对安全问题不得不挂怀了，一旦被黑，就不仅仅是钱财的问题，一不小心小命都得交代了。所以汽车智能化的同时，我们在选择的时候也应该更关注车辆的电子信息安全问题，与我们的银行账户一样，你需要知道它有多安全，在什么情况下安全。而对于厂商来说，在鼓吹智能系统的同时，也希望将安全信息公开化透明化。

　　世界上没有绝对安全可靠的事，一切都只是相对的，好在这两位黑客并非歹人，而特斯拉ModelS也不是想象中那么脆弱。希望未来的行车体验中，我们都能清晰的了解车辆传统与现时的安全问题，既然没有绝对的安全，我们希望通过知情尽量避开它。