周鴻祎稱360曾發(fā)現(xiàn)特斯拉應用程序的漏洞,馬斯克聽后不理他了
春節(jié)前,特斯拉被五部門約談一事持續(xù)發(fā)酵,當時約談的一個重要問題就是特斯拉的車輛遠程升級(OTA)等問題。而特斯拉的網(wǎng)絡安全問題也勾起了人們的回億,當年,周鴻祎讓360技術團隊輕松破解了特斯拉汽車,不僅可以遠程把車門打開,還能把車開走,把讓汽車在行駛過程中偏航,以及在充電過程中燒掉電池。對此事,周鴻祎也曾指出,特斯拉存在嚴重的系統(tǒng)漏洞,這個漏洞會導致特斯拉的產(chǎn)品可以被遠程控制。
其實,也早就國外用戶爆料類似的事情。曾有特斯拉車主報料,自己手機上使用的特斯拉APP因突然遭遇大面積宕機,導致車輛除了非智能操控的方向盤能夠運作外,幾乎車輛系統(tǒng)的導航定位、儀表盤的車輛信息、燈光以及中控屏等都出現(xiàn)“停擺”,幾乎處于盲開,情況十分危急。
而曾有外國黑客團隊演示了如何在1.6秒內(nèi)破解特斯拉的安全系統(tǒng),實現(xiàn)打開車門,輕松偷走車子。他們所用的器材成本只需約 600 美元。
當時,周鴻祎在一次談話中提到了特斯拉所存在的問題,他說:“特斯拉在2017年以后出廠的車都存在漏洞,無論是停車后開啟車門,還是在開車的過程中,我都可以對其進行干擾?!绷硗?,周鴻祎曾與埃隆·馬斯克探討過這個問題,而馬斯克被周鴻祎說中之后就惱羞成怒,并且不理周鴻祎了。
特斯拉是當下電動汽車行業(yè)的頭部品牌之一,而在今年宣布造車的小米董事長雷軍、360董事長周鴻祎等,都與馬斯克有過交集。在7月2日于360大廈分享造車理念的交流活動時,周鴻祎也分享了與馬斯克之間的一段趣事。周鴻祎爆料他和馬斯克吃飯時,直言不諱地表示360曾經(jīng)攻破過特斯拉的汽車。
馬斯克并未回避話題,反而侃侃而談“特斯拉用的不是Linux,所以Linux的漏洞是不起作用的,而且車上也沒有AppStore,所以也不能亂裝軟件,就是一個封閉、隔離且非常安全的系統(tǒng),你們是永遠攻破不了的?!?
周鴻祎顯然有備而來,隨后補充“我說如果我們攻破了你車廠的服務器呢?通過遠程OTA的方式,這個方法我們在很多車試過,百試不爽?!睕]想到說完后,馬斯克便不再理他了。周鴻祎解讀稱,他自認為說到了馬斯克的軟肋。周鴻祎如今指出,事實上任何車廠都有軟肋,大家需要正視這個問題。
通過電腦可以讓特斯拉的汽車燈亮,甚至讓汽車鳴笛。這并不是《黑客帝國》中的電影鏡頭,而是現(xiàn)實生活中發(fā)生的一幕。昨天,北京青年報記者在全球首個關注智能生活的安全極客嘉年華暨首屆GeekPwn暨XCon發(fā)布會現(xiàn)場看到了這樣的演示操作。不過,360安全專家表示,這類漏洞利用難度較大,車主不必過于恐慌。
現(xiàn)場進行這一操作的人員是一名極客。他還通過電腦控制了智能馬桶、平板電腦、游戲機手表等?!耙磺卸伎赡鼙还テ啤!边@位極客說。
昨天360公司專業(yè)團隊也發(fā)布報告稱,研究發(fā)現(xiàn)Tesla Model S型汽車應用程序流程存在設計缺陷。攻擊者利用這個漏洞,可遠程控制車輛,實現(xiàn)開鎖、鳴笛、閃燈、開啟天窗等操作,并且能夠在車輛行駛中開啟天窗。
360已于日前將相關的漏洞細節(jié)和解決方案建議正式提交給特斯拉,并表示愿意對特斯拉修復相關漏洞提供技術支持。據(jù)悉,這是全球?qū)I(yè)安全公司首次發(fā)現(xiàn)特斯拉應用程序的漏洞。
很容易想到的一個問題是,360為什么開始研究自動駕駛了?在這點上,360攻防實驗室的想法和成立了Comma的黑客George Hotz相類似。
據(jù)劉健皓介紹,他們目前正在將一輛混合動力車改裝成自動駕駛車輛。不過實現(xiàn)的手段與目前其他團隊的方式有所不同?,F(xiàn)在通過改裝車實現(xiàn)自動駕駛相關功能的,都是通過新增執(zhí)行器的方式,讓執(zhí)行器變成電子控制的。而執(zhí)行器的技術則被一級供應商所壟斷。
關于目前的改裝進度,劉健皓并沒有透露太多。從理論上來說,這個方式是可以實現(xiàn)的。雖然實際操作過程中會存在很多問題,比如逆向控制協(xié)議的過程,再比如他們需要對車輛的執(zhí)行控制需要有很長時間的研究,不過這個方式也給汽車圈帶來了新的思路。