當前位置:
首頁 > 新聞 > 迫於壓力,特斯拉將進一步擴展「漏洞懸賞項目」

迫於壓力,特斯拉將進一步擴展「漏洞懸賞項目」

黑客示範1.6 秒偷特斯拉Model S

早在2015年,特斯拉就被黑客曝出5個漏洞,到了2016年,騰訊安全聯合實驗室旗下科恩實驗室宣布以遠程的方式入侵特斯拉汽車,也就是說,黑客已經能夠做到在無接觸、遠距離的條件下控制特斯拉汽車,即使它處於高速行駛狀態也能夠迫使它熄火,更別說解鎖汽車、開窗、打開後備箱這些「小菜一碟」的技術了。時隔一年,科恩實驗室在特斯拉已經修復了漏洞的情況下,再次發現多個高危安全漏洞,並且對特斯拉實施了遠程攻擊。

而就在近日,來自比利時魯汶大學的研究人員發現了一種欺騙特斯拉無鑰匙進入系統的新方式。據悉,惡意行為者只需與車主擦肩而過,複製其密鑰信息,就能在數秒內輕鬆盜竊特斯拉ModelS電動汽車。

研究團隊發現,Model-S使用的安全鑰由Pektron的公司提供,有關公司使用的安全密碼僅由40位數字組成,保安能力不足。他們只需要成功獲取當中兩位數字,即可以暴力破解方式嘗試所有組合,直到「撞到」正確密碼為止。當研究人員成功計算出所有密碼組合,並建立一個容量達6TB的密碼庫後,即可在1.6秒內破解所有密碼組合,偷走任何一輛ModelS。

這一漏洞可謂非常嚴重,因為特斯拉是無鑰匙進入系統概念的先驅,目前這一系統已被大多數豪華汽車所採用。不過好在這一攻擊似乎只適用於6月份前交付的Model S車型,且特斯拉上周發布的補丁軟體已經修正了相關漏洞。更重要的是,特斯拉還為車輛增添了新的安全選項,汽車在啟動前用戶需要輸入PIN密碼。

特拉斯進一步擴展「漏洞懸賞項目」

隨著汽車的逐步智能化,以及越來越依賴於軟體控制系統,在汽車連接網路為車主提供更多功能的同時,安全隱患也隨之增加。除了日常要處理的硬體設備問題,許多未曾面臨過的安全問題也被應推到汽車製造商面前。例如,已經出現黑客利用車載系統漏洞遙距控制汽車的安全問題,這類重大安全問題無疑引起了各方面的關注。汽車業的相關企業已經開始發布漏洞懸賞,如特斯拉和通用汽車公司。

2015年6月,特斯拉公司正式在Bugcrowd網站上開啟了針對自己網頁的漏洞懸賞項目。每找到一個該公司網站隱患漏洞,他們就向發現者支付25到1000美元不等的獎金。不過這一項目僅針對網站展開,找到特斯拉汽車安全隱患的人並沒有獎金可以拿。

近日,特拉斯公司已經為其漏洞懸賞計劃添加了一些新指南,這些指南將幫助研究人員發現特拉斯軟體中的安全漏洞。簡單來說,就是該公司現在已經允許研究人員破解未運行的特拉斯汽車,而不必擔心公司不予保修或承擔任何法律責任等後果。

安全研究人員必須遵循哪些規則?

顯然,研究人員要破解未運行的特拉斯汽車必須要遵循一些額外的規則,例如,安全專家和車輛必須進行註冊和審批來進行此類安全測試,作為該公司漏洞報告計劃的一部分,此外,他們的行為必須出於善意目的,幫助公司發現潛在的安全漏洞,而不是利用這些漏洞實現惡意目的。據悉,特拉斯公司甚至還想需要更新汽車的研究人員提供了空中下載(over the air,簡稱OTA)技術支持。

此外,特拉斯公司還明確表示,研究人員不得濫用其公司的善意,不要指望那個公司支付任何現金支出,例如幫其將車輛拖到最近的服務中心。

誰將免受法律問題的影響?

根據《計算機欺詐和濫用法案》(CFAA)規定,所有在漏洞報告計劃中獲得批准的研究人員和車輛都不會受到任何指控;而依照《數字千年版權法案》(DMCA)規定,該公司將不會對使用其汽車安全機制的預先獲批研究人員收取任何版權費用。

該公司表示,

如果您成為第一個報告有效漏洞信息的安全研究人員,我們將在名人堂中列出您的姓名(除非您希望保持匿名)。如果您成為第一個在季度報告中上報Top3有效漏洞之一的研究人員,我們還將考慮為您授予獎項。

喜歡這篇文章嗎?立刻分享出去讓更多人知道吧!

本站內容充實豐富,博大精深,小編精選每日熱門資訊,隨時更新,點擊「搶先收到最新資訊」瀏覽吧!


請您繼續閱讀更多來自 嘶吼RoarTalk 的精彩文章:

Threat Hunting之橫向移動攻擊
Domestic Kitten:針對伊朗的監控活動

TAG:嘶吼RoarTalk |