比利时研究人员似乎发现了一种全球性的自动盗窃模式,盗窃者使用计算机黑客硬件能够将应答器代码覆盖到特斯拉车辆(尤其是Model S)和合适的密钥卡上,因为在几分钟内汽车被盗,而小偷开车离开时,车钥匙在所有者的口袋里。

比利时一所大学的研究人员发现特斯拉车辆安全性中的一个漏洞,他们正在一次黑客会议上发表论文:凭借约600美元的无线电和通讯设备,他们可以追踪信号,黑客汽车和智能钥匙而无踪迹。特斯拉花了一年时间寻找一种解决方案,解决通过空中连接的汽车系统的简单后门黑客攻击,一天之内就不需要驾驶员了。小偷先从汽车上获得密码,然后再从钥匙扣上拿走;钥匙扣是由外包的钥匙公司Pektron制造的,该公司为所有特斯拉汽车以及McClaren,Karma和Triumph Motorcycles制造了钥匙扣。他们使用的是较弱的Keptron加密代码,但此后对其进行了增强。特斯拉近几个月来已采取一切措施阻止或防止汽车黑客或盗窃;聘请安全工程师,实施代码完整性检查,安装OTA软件更新;最近他们为Model S推出了新的防盗功能,其中包括PIN码。所有在2018年6月之前制造的装有汽车的Model S客户都可以选择购买新的遥控钥匙,即使汽车中的GPS已关闭,客户仍可以在应用程序上以及在特斯拉车站为汽车充电时跟踪其汽车。

所有这些,还有帐篷

当汽车工程师协会的2至3级汽车空中软件系统(与数十万辆其他汽车相连)被后门窃取以窃取汽车时,就会出现这些问题。我们只能想象这是关于密钥卡和仅能由软件驱动的4级或5级汽车的汽车网络。你们全都包裹着一辆没有车轮或踏板的5级汽车。4级为您提供了更多担心的更多选择。一辆没有踏板或方向盘的停放的5级汽车,相当于一辆无人驾驶的载重枪躺在桌子上。它可以坐在那里直到尽头而不伤害灵魂。停放的4级汽车是双重装载武器。它既可以物理地被盗,也可以通过黑客被盗。将4级和5级的网络安全警报转移到此情况。尽管可能存在艰巨的安全墙,但黑客必须克服才能进入可以访问这些汽车的系统,但这仅仅是事实,外部人员警告特斯拉该系统存在巨大但非常简单的缺陷,无法允许汽车盗贼,而不是希望对系统,汽车或人造成伤害的黑客,足以引起人们的注意。甚至在比利时研究人员告诉特斯拉的软件安全工程师,他们的主要仿制汽车安全系统很容易受到汽车被盗或被黑客入侵的影响后,故事中更令人恐惧的部分是,特斯拉花了大约一年的时间才提出某种解决方案。解决威胁的解决方案。正如该小组的比利时研究人员托默·阿瑟(Tomer Ashur)告诉《连线》杂志所说:“这种攻击就在那里,而且我们并不是世界上唯一能够提出这种攻击的人。”

来自位于本国荷兰语地区的一所大学的比利时研究人员Ashur和他的同事在2017年8月向特斯拉的MIS员工介绍了黑客事件。尽管特斯拉最终成为了新车发布的引人注目的背景,导致他们走上了有争议的问题之路,例如破产,迫使他们在工厂旁搭起一个巨大的帐篷以争分夺秒,但仍存在一个持续发展的问题,在后台与时间赛跑,试图永久性地堵塞巨型水坝的后门孔,该水坝构成了特斯拉网络的世界,该网络将所有汽车在野外连接起来。他们扔给它的一切似乎都没有用。当他们采用失败的解决方案时,立即性(但逐渐地)变得更加重要。

早在7月,《扭矩新闻》就报道了一个神秘装置,该装置以程序化的方式在盗贼的各种安全录像带中看到,使用某种电子手持式装置并将其悬停在任何物体上方或上方,以便以某种方式能够访问附近的车辆然后开车去。我们当时不知道的是,特斯拉在过去的一年中一直在努力解决这个问题,外界事先没有意识到这一点,他们被告知他们有问题,而且解决该问题的时间很困难。特斯拉似乎利用了一年中其武器库中的一切来避免威胁,例如通过空中软件更新,聘请计算机安全专家,与负责密钥的外包公司协商,雇用更多软件安全工程师,向Model S客户提供2018年6月以后生产的汽车,这些新的加密加油表链需要更换。在特斯拉及其关键制造商Pektron修复损坏并进行损坏控制的同时,即将在阿姆斯特丹举行的加密硬件和嵌入式系统会议即将召开,而发现该黑客事件的团队位于比利时鲁兰德大学KU Leuven University,将从整个经验中提交论文。

中继黑客的定义以及黑客不是什么

重要的是要注意,根据本报记者对这个故事的研究,以及前一个报道涉及使偷车贼的工作更容易完成的神秘装置,其中还包括另外两个消息来源,发现有几个项目需要注意并为这两个故事带来背景。非特斯拉汽车在上一个故事中使用的工具是使用与此中使用的类似工具完成的。两者都是针对无钥匙进入系统的中继黑客。在Mac和PC世界中,中继黑客世界似乎也是如此,因为用于欺骗非特斯拉车辆钥匙的设备是一次性的。一旦被盗的汽车停了下来,就用电动机关闭了欺骗模具。是什么让特斯拉骇客变得更有趣,更危险,并且使特斯拉立即找到解决方案的原因是,在汽车盗窃情况恶化之前,特斯拉找到了另一个解决方案,例如杂货店或银行抢劫案,或者是逃避高速追捕警察的行为。 Tesla hack是持续存在的汽车钥匙重复。

记者还注意到,从这两个故事中看到的消息来源是,他在任何时候都没有任何理由相信特斯拉的大型机或它们的核心计算机网络等向特斯拉制造的成千上万辆汽车发送和接收信息的物品。这些年来,随时都遭到立即袭击。问题在于,特斯拉很脆弱,一开始他们甚至一开始都不知道。根据报告的信息,自比利时人于2017年8月告诉他们以来,特斯拉的网络似乎已经存在了一年多,这是一个漏洞,该漏洞使特斯拉成为威胁的目标。值得庆幸的是,这次事件只涉及几辆被盗的汽车。意识到这种黑客攻击的动机是盗窃汽车,因此需要专门设计用于制作加密代码的设备,从而找到进行黑客攻击的代码。如果除汽车盗窃以外的其他罪行,那就需要另一套设备和软件才能进入特斯拉系统,然后对其进行导航。黑客入侵的第一道也是唯一一道墙,但是很难发现,因为暴露的漏洞是显而易见的。

但是,一旦进入车内尝试进一步破解,下一步将变得越来越困难。但是要达到汽车盗窃黑客的水平,特斯拉整整一年都容易受到任何网络的攻击,包括彻底的攻击,因为他们试图解决一个又一个无效或不能解决整个问题的解决方案。对于专家和批评家来说,这比实际威胁造成的更多关注警报。如果所有未通过互联网链接到产品的传统制造商都遇到了这种情况,那么多数问题就不会构成网络安全威胁,但是修复起来会使事情变得更加昂贵,常常需要召回产品。

对于特斯拉这样的汽车公司而言,无论它们具有什么防火墙,它们都将更容易受到攻击,因为它们所有产品的连接都能够执行诸如与特斯拉或彼此通信,通过空中软件更新接收信息或从中学习的功能。在AutoPilot模式下彼此相撞的错误。特斯拉(Tesla)和公共安全在这里也面临着更多的风险,因为特斯拉(Tesla)的商业模式正在适应其产品,甚至包括过去几年组装的产品,能够以4级自动驾驶的能力,或者更容易进行改装以实现相同。第4级有不同的解释,具体取决于您问谁。对某些人来说,这意味着该汽车具有“ Ron Popeil”功能,可以“设置它而忘记它”,然后坐在汽车后部,汽车就可以自行驾驶。这些汽车将全部联网到盗贼可以访问的同一系统,这使特斯拉容易受到攻击,并且整整一年都面临威胁。

这是东西:

用通俗易懂的话来说,偷车贼是一种动态,相当于偷车贼不断地将自己埋在门前的草坪上,穿过锁上的门和周边安全系统,以不断偷车。您的系统已设置为保护房屋内的更多物品,而不必保护屋外的汽车。但是外围安全系统是房屋内部网络的一部分,并已连接到房屋内部网络,如果他可以访问汽车,则可以尝试访问房屋。他可能不希望对您的房屋进行入室盗窃,因为这里装满了宝物,但由于多层坚固的通道和保护装置而被锁定,因此他对在车道上偷窃您的汽车更感兴趣。您很生气,他总是找到一种方法来击败您的安全系统以找到进入的途径。您只是不希望他能够在任何地方都可以进入您的财产,而这是他设法完成的一年应该很容易解决。一年来,您都为阻止他而愤怒地举起双手,但没有任何效果。隐喻地说,这是特斯拉计算机安全团队过去一年的动力。

骇客是什么

对于大多数像本报社这样的新闻通讯社来说,新闻来源都来自《连线》,该书为您提供了关于黑客工作原理的详尽信息,让您更加了解黑客。WHat与非特斯拉汽车有关的报告中的骇客有所不同,该报告将对此报告进行简化,并发布研究人员自己对YouTube的重新制定,甚至更加简化:

访问Torque News主页以获取更多故事。

窃贼使用所谓的Proxmark无线电,获取了目标特斯拉锁定系统的无线电ID,该车会随时广播。收到一个信号后,他们追赶Fob支架进入3英尺内并抓住该信号。他们这样做了两次,以欺骗汽车,也挑战了让小偷记录代码的表链。通过搜索引擎输入代码,找到您的密码!

密钥制作者的马虎汽车钥匙链

无论出于何种原因,Pektron的决策者选择,问题的核心显然不一定是特斯拉方面的任何粗心,过失或鲁ck行为,因为保护这些汽车的安全系统存在固有的但明显的缺陷,也许只有那些毕生学习这些东西的学者才能找到。经过九个月的逆向工程来跟踪发现漏洞的步骤。研究人员说,该漏洞是Pektron的选择,它使用相对较弱的密钥加密来对抗会造成黑客攻击的攻击链。具有讽刺意味的是,如果能够为特斯拉客户提供更强大的Pektron安全加密,就不会发现该漏洞。Pektron从事为其他车辆制造和应用程序制作钥匙的业务,并拥有其所使用的最先进的设备,并向特斯拉这样的客户提供客户,这就是为什么特斯拉这样的汽车公司将这些硬件和软件问题外包给其他公司,例如Pektron。Pektron为什么选择使用弱加密的原因令人迷惑,这听起来像是可燃的罪行。正如Tomer Asher所说,比利时的一位研究人员最近对《连线》杂志说过弱加密:“这是一个非常愚蠢的决定,有人搞砸了。通常。”

特斯拉似乎已经解决了FOB安全问题。特斯拉关闭了潘多拉魔盒以打开其他人。像麦克拉伦(McClaren),业力(Karma)和胜利摩托车(Triumph Motorcycles)之类的Pektron客户可能有理由担心,因为他们使用的是相同类型的安全设备,并且如果他们的Pektron安装人员没有使用强加密来阻止类似于其车辆的攻击,它们也可能同样容易受到攻击。 。其他车辆制造商肯定会密切注意这一点,以了解他们的设备和程序将如何应对此类威胁。

在回应原始的Wired报告时,Pektron,Karma和Triumph Morotorcycles没有对此发表评论。麦克拉伦在特斯拉黑客事件中做了:“虽然这种潜在方法尚未被证明会影响我们的汽车,并且被认为是低风险,而且我们不知道任何迈凯轮汽车被这种或先前报道的'中继攻击'方法偷走,但我们还是采取了安全措施迈凯轮发言人写道:“我们非常重视我们的车辆和客户的顾虑。”他们告诉《连线》,他们正在调查骇客和Pektron对它的反应,以及它可能如何影响他们。

麦克拉伦(McClaren)是稀有异国情调汽车的利基定制豪华性能汽车制造商,这些汽车有目的地经过精心设计,具有特定的特性,以特定的方式发挥作用。旷野中没有太多的麦克拉伦,所以当您看到麦克莱伦斯时便会注意到它。如果更换每个表链都是解决方案,那将对他们有利。但是,对于其他大多数规模,产量或互联网连接性都不成问题的汽车或汽车公司,例如特斯拉在所有这些类别中,或者对于产量较低的麦克莱伦来说,当您的产品价格低廉时,对于那些制造商来说就成为问题不能通过无线方式相互连接,并且不能进行软件更新,而且密钥卡危机的处理方式与产品召回无异,这可能要花费数亿美元的底线。

权衡解决方案

同时,具有讽刺意味的是,对此类攻击的反作用似乎与我们面对恐怖主义的那些问题并存,并且往往需要平衡便利与安全。麦克莱伦(McClaren)进行调查时,立即采取的解决方案是为客户提供免费的“信号屏蔽袋”,类似于用于保护我们钱包中RFID卡的技术。但是,我们的新型汽车为我们提供的最便捷的功能之一就是,当我们与FOB接近时,它们能够检测到我们,就像它们也是我们的宠物一样,让他们知道我们即将向他们打招呼。我们现在很少考虑RFID阻止器使我们与他们之间的关系变得复杂。

就像他们在摇尾巴一样,这是当我们的汽车启动计算机为您准备好待机状态时,打开他们的礼貌灯说“我在这里,在这里您可以看到”。如果是汽油,则启动电动机,如果是电动,则为您提供驱动。当他们这样做时,他们将打开车门,打开行李箱或打开杂货,或者当您终于坐在驾驶员座位上时开始播放音乐,然后在我们的下一次旅程中一起出发,宠物发疯时会回家,如果与我们在一起,则下一站。如果在温暖的天气下,进入装有计算机的汽车与进入模拟汽车,转动钥匙然后继续行驶是不同的。RFID阻止器将现在的Fob持有者从容器中取出Fob,将“无钥匙”变成了“小袋”麻烦。

当年特斯拉经历了试图解决这种黑客攻击的解决方案时,外面的帐篷戏不断展开,除了提供新的bun堡产品外,他们内部的最终解决方案是为Model S客户提供PIN码选项以启动他们的汽车。这提供了偷车贼不需要处理的另一层,因为帮助他们快速偷窃和逃脱的要素是时间。因此,具有讽刺意味的是,随着汽车的老化,Model S的拥有者不得不问自己,OEM新零件总是而且昂贵且稀有,二手零件变得比eBay更受欢迎,并且在比eBay还要多的地方,他们会选择哪种生产方式?想等待吗?正如记者从该窗口的另一侧知道要进行举报一样,在警察投诉举报线上等待报告被盗汽车的时间并不长,但可以肯定的是等待。您想在那条线上等待多久?

在RFID和PIN码之间的折衷解决方案可能是让特斯拉客户进入他们的屏幕并停用被动进入功能,这会将密钥卡恢复到1990年的样式,即仅是单击器即可解锁门。关键技术基于相同的原理,但是没有更多的加密代码可破解。还记得那天吗?这些都是与通宵的警报一样的!

特斯拉的回应

在这种情况下,当外部人员接近其MIS计算机人员以了解其系统中的漏洞问题时,公司将支付“漏洞赏金”。在这种情况下,特斯拉向研究人员支付了10,000美元,这笔钱只是一笔很小的赠款。为此,研究人员让特斯拉踏上了漫长的一年,走了一条黄砖路,试图找到一个显然无法解决下一个解决方案的解决方案。但是首先,他们必须研究研究人员的发现以验证发现的内容,然后再将其暴露给他们的系统以找到解决方案。然后,就像从头开始制造汽车一样,您需要解决从计划,草稿到原型制作,然后在生产前进行试生产的过程。到现在为止,我肯定发生过很多次失败。当这一个或两个修复程序可以用于生产时,而对于网络安全修复程序,这意味着找到一种整合到制造过程中的方法,那么您甚至可能会在此失败,因为某种修复程序实际上可以工作,但没有办法,没有可行的方法,或者没有便宜的方法让您将修补程序放入设计或组装过程中,等等。即使在这些工程师进行修补程序的情况下,我也肯定有时会想知道他们是否会听说过密钥卡再次。

所有这一切,而另一场危机正在工厂附近酝酿,并准备将其打造为“地球上最伟大的表演”。当一家公司发布有关影响他们的事件的声明时,真是太了不起了,直到他们震惊了,他们显然对广告没有兴趣,因此像什么都没做一样光滑地滚动了事件。这是特斯拉对Wired关于关键FOB危机的回应:“由于越来越多的方法可用于窃取带有被动进入系统的各种汽车,而不仅仅是特斯拉,我们推出了许多安全增强功能,以帮助我们的客户减少未经授权使用其车辆的可能性,”特斯拉发言人写信给《连线》。“基于该小组的研究,我们与供应商合作,通过在2018年6月为Model S引入更强大的加密技术,使密钥卡更加安全。针对所有Model S车辆的相应软件更新允许拥有6月之前生产的汽车的客户根据需要切换到新的密钥卡。”

带有钥匙扣的Pandora盒子已关闭。帐篷仍然拖着。..

您对Model S骇客有何看法?让我们在下面知道!