主题 : 黑客两分半钟即可盗走 Model X,特斯拉将推更新修复
千山同一月 万户尽皆春 千江有水千江月 万里无云万里天
级别: 总版主

UID: 998
精华: 0
发帖: 604963
威望: 528524 点
无痕币: 3089 WHB
贡献值: 0 点
在线时间: 61687(时)
注册时间: 2008-12-25
最后登录: 2024-03-29

0 黑客两分半钟即可盗走 Model X,特斯拉将推更新修复

管理提醒: 本帖被 hexj9 从 『Android(安卓)资源共享区』 移动到本区(2020-11-25)
11 月 24 日消息 特斯拉汽车可以连接互联网进行 OTA 更新,以接收新功能和安全更新,但安全研究人员表示,汽车的联网性也会带来风险。

比利时研究人员发现,他们可以通过蓝牙连接的密钥,在几分钟内入侵并偷走一辆特斯拉 Model X SUV。他们表示,这迫使特斯拉推出了一个修复方案。
这是比利时鲁汶大学 COSIC 小组的最新安全实验,该小组此前曾在特斯拉的 Model S 豪华轿车上发现了类似的漏洞。
研究人员表示,攻击的第一部分只需 90 秒,利用特斯拉无钥匙进入系统中的一系列安全问题可成功进入特斯拉车辆;然后就是进入车内的第二部分攻击,他只需在仪表板下操作一分钟,就可以注册自己的车钥匙,然后把车开走。
研究人员在 8 月 17 日向特斯拉公司通报了他们的发现,他们表示,特斯拉正在推出一项旨在解决这一问题的更新。
COSIC 研究小组的博士生 Lennert Wouters 在一封电子邮件中表示,这个问题不一定是特斯拉独有的。“这个系统是由特斯拉内部开发的,所以这个确切的漏洞很可能只适用于特斯拉 Model X,”他写道,“然而,其他具有不安全的固件更新机制的密钥也可能受到类似的攻击。”
Wouters 指出,其中的关键漏洞包括:固件更新过程中缺乏 “加密签名”,这意味着密钥没有安全的方式来证明更新是否合法;以及不安全的配对协议,允许一个新的、经过修改的密钥与 Model X 配对。
侵入汽车的设备包括一台 35 美元的 Raspberry Pi 电脑、一个改装过的密钥和一个从 eBay 上买来的特斯拉 Model X 控制单元。研究人员利用备用控制单元,让几米内的密钥宣传自己是 “可连接的”。Wouters 说,之后,他们向密钥推送了一个软件更新,可以 “获取有效的解锁信息”,以便以后可以解锁汽车。他们指出,特斯拉钥匙扣中的软件可以在没有额外的安全层来验证其真实性的情况下进行更新。
“由于这种更新机制没有得到适当的保护,我们能够以无线方式入侵密钥,并完全控制它,”Wouters 在一份新闻稿中说,“随后,我们可以获得有效的解锁信息,以便日后解锁汽车。”
IT之家了解到,Lennert Wouters 表示,特斯拉已告诉他本周将开始推送软件更新以应对他的黑客攻击。
千山同一月 万户尽皆春 千江有水千江月 万里无云万里天
级别: 总版主

UID: 998
精华: 0
发帖: 604963
威望: 528524 点
无痕币: 3089 WHB
贡献值: 0 点
在线时间: 61687(时)
注册时间: 2008-12-25
最后登录: 2024-03-29

这个可以看看,了解一下。
级别: 十方秋水

UID: 88
精华: 0
发帖: 129700
威望: 220794 点
无痕币: 105768 WHB
贡献值: 0 点
在线时间: 51569(时)
注册时间: 2008-03-18
最后登录: 2024-03-29

又一精品。谢谢楼主分享。
知足常乐
级别: 十方秋水

UID: 23
精华: 1
发帖: 261065
威望: 117081 点
无痕币: 2195 WHB
贡献值: 0 点
在线时间: 9388(时)
注册时间: 2007-11-24
最后登录: 2024-03-29

看看了解一下,谢谢总版分享!
事能知足心常乐 人到无求品自高
级别: 八片秋叶

UID: 232159
精华: 0
发帖: 45213
威望: 40865 点
无痕币: 9797 WHB
贡献值: 0 点
在线时间: 800(时)
注册时间: 2014-06-03
最后登录: 2024-03-29

谢谢楼主辛苦分享,了解一下。
Total 0.033439(s) query 4, Time now is:03-29 17:39, Gzip enabled 粤ICP备07514325号-1
Powered by PHPWind v7.3.2 Certificate Code © 2003-13 秋无痕论坛