自古黑客出少年。研究网络安全的19岁德国男孩大卫科伦坡最近有了一个重大发现。在为一家法国公司进行安全审查时,他注意到该公司网络上的一个软件程序泄露了该公司CTO驾驶的特斯拉的所有数据,包括汽车的驾驶历史和当时的精确位置。但这还不是全部。随着调查的深入,科伦坡意识到他可以使用该程序向特斯拉推送指令。这使他能够劫持汽车的多项功能,包括打开和关闭门/窗、打开音乐、播放视频、启用无钥匙驾驶和禁用安全功能等。但是,他无法控制汽车的转向、刹车等操作。科伦坡的发现在推特上引发热议。在物联网设备无处不在的今天,网络安全问题牵动着每个人的神经。在1月11日的一条推文中,Colombo表示他已经能够向13个国家/地区的至少25辆汽车发出指令。随后的分析表明,这个数字可以扩大到数百辆。值得注意的是,这些缺陷并不存在于特斯拉的汽车或特斯拉的网络中,而是存在于一个开源软件中,该软件收集和分析来自其汽车的数据。发现这些问题后,科伦坡联系了特斯拉的安全团队。他向团队提供了屏幕截图和其他文件,详细说明了他的发现并确定了受影响的第三方软件的制造商,但没有向媒体公布细节。随后,该团队开始了调查。美国国家公路交通安全管理局发言人也表示,已就此事与特斯拉取得联系,该机构的网络安全技术团队将协助评估和审查信息。由于Colombo没有提供有关该软件的详细信息,Twitter用户正在做出自己的猜测。例如,很多人将数千个特斯拉身份验证令牌的过期与此次事件联系在一起。但特斯拉解释说,科伦坡报告的漏洞涉及另一个平台。由于该平台使用已过期的V2Tesla令牌,因此没有TezLab用户因David帖子中描述的漏洞而面临风险。Teslascope创始人TylerCorsair也在推特上澄清:“Colombo提到的那些用户使用了一个名为Teslamate的开源项目,然后对其进行了错误配置(部分原因是开发人员设置了错误的默认配置),因此任何人都可以远程访问它。“收到报告后,他们推出了一个补丁。10岁开始编程,15岁创办公司根据他的LinkedIn个人资料,Colombo专攻网络安全。他声称“在10岁时编写了他的第一段代码”,他的公司的目标是“帮助每个企业保护自己免受网络空间中不断变化的威胁行为者的侵害。”在他13岁的母亲患上乳腺癌并于次年去世后,他选择进一步沉浸在编程中,成为厌倦了学校的节奏,他和父亲在15岁时成功申请特批,允许他每周只上两天学,其余时间用来拓展网络安全技能并成立了一家名为ColomboTechnologyConsultingCompany的公司。“我必须学习拉丁语和文学分析,然后我想,为什么?我可以专注于安全问题并保护公司。”发现他们产品中的弱点,并向帮助他们评估安全性的公司寻求建议。联网汽车到底有多脆弱?当然,这并不是网络安全人员第一次披露涉及联网汽车的潜在严重安全漏洞。2015年,两个安全研究人员披露了一次攻击,《连线》杂志的一名记者远程控制了一辆吉普切诺基,并在美国高速公路上以70英里/小时的速度行驶时将其关闭。停止了发动机。这家汽车制造商正在召回超过140万辆汽车和卡车一个有缺陷的互联网连接信息娱乐系统,第一次因网络安全问题召回汽车。从那时起,研究人员开始披露他们拥有的许多其他黑客风险e被发现,越来越多地源于汽车的复杂电子设备。在Jeep黑客事件曝光后不久,另一组研究人员披露了TeslaModelS中的软件缺陷,这些缺陷可能允许黑客在汽车行驶时关闭汽车引擎。在研究人员与特斯拉协调后,后者发布了软件修复程序。2020年,特斯拉ModelX的Autopilot多次被黑。在一项案例研究中,以色列本古里安大学的研究人员通过在道路、墙壁或标志上闪烁“幻影”图像来诱使汽车意外刹车或转向错误的方向。几个月后,比利时鲁汶大学的研究员LennertWouters在90秒内“偷走了”一辆特斯拉ModelX。在去年秋天的2021年世界新能源汽车大会上,马斯克承诺将与监管机构合作,确保电动车车主的个人数据免受黑客攻击。“随着自动驾驶技术的快速发展,车辆的数据安全比以往任何时候都受到了更多的公众关注,”马斯克说。据估计,到2025年,将有4.7亿辆汽车连接到计算机数据库,使它们成为网络犯罪分子的成熟目标。科伦坡说,在披露他的调查结果之前,他联系了德国、美国和爱尔兰的三位特斯拉车主。他在Twitter上展示了一段私人对话的截图,其中一名受影响的车主允许他远程按喇叭以确认该漏洞的存在。在未能找到大多数其他数据泄露的特斯拉车主的联系信息后,他决定公布他的发现。“我想提醒车主,这是初衷,”他说。“因为如果我不这样做,说不定会有心存恶意的人发现那些系统漏洞并做出坏事。想象一下,有人可以控制你的特斯拉,打开车门,然后去兜风。”参考链接:https://cacm.acm.org/news/257853-teen-cyber-prodigy-stumbled-onto-flaw-letting-him-hijack-teslas/fulltext【本文为专栏组织大佬原创翻译数据文摘微信公众号《大数据文摘(id:BigDataDigest)》】点此查看作者更多好文
