根據一項最新公佈的研究結果顯示,網路黑客憑藉傳統黑客技術就能夠破解特斯拉Model S電動汽車的六位密碼,從而對汽車進行鎖定和解鎖。
本週五,企業網路安全顧問尼特施·丹賈尼(Nitesh Dhanjani)在新加坡召開的亞洲“黑帽”(Black Hat)黑客安全大會上發表演講時稱,根據他近期對特斯拉Model S電動轎車所進行的一項研究顯示,這款車的安全系統存在多個設計缺陷。不過,丹賈尼同時指出,他並沒有發現該款轎車主要系統中存在任何隱藏的軟體漏洞。
丹賈尼表示:“我們不能採用保護我們電腦工作站的相同方法來保護我們的汽車。”他還稱,已經把他的研究結果轉交給了特斯拉公司。
特斯拉新聞發言人帕特里克•瓊斯(Patrick Jones)拒絕對丹賈尼的研究發現發表任何評論。不過他同時表示,對來自安全領域專家的建議和研究成果,特斯拉都進行非常細心的評估。
瓊斯在一封電子郵件中寫道:“我們擁有頂級的專業資訊保安研究人員,因此可以有效針對漏洞保護我們的產品和系統。我們還持續地與安全研究人員群體展開合作,並積極地鼓勵他們通過公司正式的報告流程與我們進行溝通。”
根據丹賈尼的研究結果顯示,雖然只有隨車遙控鑰匙才能夠發動特斯拉Model S電動轎車,但通過無線網路發出的指令也可以對其進行解鎖。丹賈尼表示,一旦密碼被盜或者被解密,人們就可以鎖定Model S轎車的位置,然後進入該車的系統竊取內容,不過無法將轎車開走。
當使用者訂購Model S轎車時,特斯拉會要求使用者設定一個六位賬戶密碼,以幫助使用者對一款手機應用進行解鎖,從而可以接入使用者的線上特斯拉賬戶。
這款手機應用可以對Model S進行遠端定位和解鎖,還可以控制和監控該車的其他功能。丹賈尼表示,破解電腦或線上賬戶的多種方法同樣適用於破解Model S的六位密碼。攻擊實施者可能會通過特斯拉的一個網站猜出使用者設定的密碼,因為特斯拉並沒有對錯誤密碼資訊輸入的次數加以限制。
攻擊者可能會通過植入密碼竊取病毒來從使用者的電腦中獲得密碼,或者使用竊取來的密碼接入使用相同密碼的使用者其他賬戶。
丹賈尼表示:“售價高達10萬美元的Model S轎車卻依賴這樣一套六位靜態密碼作為護身符,這可是一件非常嚴峻的事情。”
丹賈尼還指出,有證據顯示,特斯拉服務支援部門的員工可以對Model S轎車進行遠端解鎖,這就讓轎車使用者很容易受到攻擊者發起的攻擊。與此同時,業內人士還發表質疑稱,無論使用者是否知曉或者授權這種行為,特斯拉員工可能會使用這種特權來對任何轎車進行鎖定和解鎖。(景隼編譯)