特斯拉App宕机,车主被困沙漠,智能汽车埋下哪些安全隐患

这起事件为人们敲响了警钟,在汽车全面迈入智能网联时代后,智能汽车的网络安全如何保障,车主的个人隐私靠什么保护。

屋漏偏逢连夜雨。

马斯克在特斯拉电池日上画了很多饼,爆了不少金句,但全世界好像都有一点失望。

为了强调特斯拉软硬件一体的智能属性,马斯克还说,“可以把我们的车,看作是轮子上的笔记本电脑。”

既然是笔记本电脑,自然就有死机重启的风险。

马斯克一语成谶,电池日结束后的第二天上午,特斯拉就遭遇了全面网络中断,大量特斯拉车主无法通过App连上汽车,甚至特斯拉公司内部系统也宕机了。

Electrek网站主编弗雷德·兰伯特的推特

受此影响,特斯拉股价大幅跳水,截至9月23日美股收盘狂泻10.34%,市值蒸发了409亿美元。

更重要的是,这起事件为人们敲响了警钟,在汽车全面迈入智能网联时代后,智能汽车的网络安全如何保障,车主的个人隐私靠什么保护。

特斯拉App宕机影响全球车主

“救命!”一位推特网友紧急@了马斯克和特斯拉,“我在沙漠里的超级充电桩,现在被困在我的Model 3外面,(App)连不上车,我快打了两个小时的紧急道路救援电话了。”

美东时间周三上午11点开始,特斯拉突然遭遇了完全的网络中断,越来越多的车主,无法通过特斯拉App连接到汽车。

和其他车型不同,特斯拉App是车主的重要工具,能控制车上许多功能。

比如,特斯拉的实体车钥匙,需要额外花钱选配,取而代之的是感应卡片和手机App解锁。

虽然特斯拉官网建议车主要始终准备好功能性实体钥匙,但在习惯了手机App解锁的便利之后,大部分车主不会在意这句提醒。

此外,特斯拉车主还可以通过手机App远程设置供暖、空调、后备箱、前行李箱,监控充电、定位车辆和预约各类服务,以及控制解锁车辆Autopilot系统等等。

比如Autopilot系统有一个“智能召唤”功能,使用App就能让爱车从停车位上启动,并自己开到你面前。

特斯拉车主试用“智能召唤”功能

总之,特斯拉App挂了,对车主影响非常大。

与此同时,特斯拉官网也发生了故障。

一位芝加哥准车主刚好在官网下订单,结果网站丢失了他的信用卡信息,而且不让其再次填写。

在特斯拉的内部系统,也无法访问客户连接功能,导致工作人员无法处理订单和交付。

特斯拉的能源产品也遇到同样问题,太阳能和Powerwall储能电池用户无法监控他们的系统运行状态。

这一次,特斯拉的网络中断波及范围不小。

宕机追踪网站DownDetector的热点图显示,全球范围内,遭遇网络中断的车主大部分来自美国,包括旧金山、波士顿、纽约和芝加哥等城市,在欧洲,包括英国、德国和俄罗斯等国的部分车主也受到了影响。

特斯拉几乎年年都会宕机

网络中断,系统宕机,特斯拉车主其实并不陌生,较大规模的事故,每年至少总得来上一次。

2016年,特斯拉系统瘫痪了一整天后,车主才能重新接入互联网,使用远程数据、流媒体音乐、实时导航等功能。

2017年3月,特斯拉的App和API(应用程序编程接口)宕机几乎长达24小时,车主也是无法通过App连接汽车。

2018年4月,众多特斯拉车主再次经历了长时间App宕机。

2019年9月,特斯拉App大面积宕机,故障持续了大约4个小时。

今年5月13日,国内也有大批车主反映,特斯拉App宕机,手机连不上车,无法点亮中控屏,也就看不到车速和电量,老司机只能凭借直觉“盲开”。

通常,特斯拉都不会就宕机事件作出解释,只会回复一句“问题已修复”。

至于本次断网事故的原因,有知情者称,是因为特斯拉App的API(编程接口)内部中断造成,这可能与特斯拉即将推出的双重认证功能有关。

而在中国特斯拉App宕机事件中,虽然不到两个小时就修复了问题,但当晚有车主爆料,发现特斯拉API域名证书竟然过期,并未及时续费。

有车主通过系统查询后晒出的图

资深汽车行业分析师卡尔·布劳尔说,“当我们获得更多便利时,我们往往会变得更加期待并依赖它。”

正是因为对App依赖很深,每次断网、宕机都会对特斯拉车主造成不小的麻烦,尽管重启之后,App看上去又是完美如初。

远程操控别人的特斯拉

除了宕机断网,特斯拉App也时不时暴露出一些漏洞。

不久前,一位中国车主的特斯拉App,就莫名其妙连上了大洋彼岸不知道哪五位朋友的车,不但可以查看这些车辆的所有信息,甚至还能远程控制解锁车门、打开车窗、开启空调等。

2016年,腾讯科恩实验室的白帽黑客,就成功入侵了特斯拉Model S的系统,接着又在一年后破解了Model X的车载系统。

他们不需要物理接触汽车,就实现了对刹车系统、转向灯、座椅位置以及门锁系统的控制。

此外,腾讯科恩实验室的白帽黑客还对研究了Autopilot系统的安全性,并通过实验证明,即使车主没有主动开启Autopilot系统,也可利用该功能通过游戏手柄操控车辆的行驶方向。

2017年,著名的特斯拉白帽黑客杰森·休斯,在特斯拉服务器端发现一个漏洞,可以获取全球每个超级充电桩的数据。

休斯平常就喜欢捣鼓特斯拉

休斯甚至找到一连串“BUG链”,发现特斯拉的任何远程指令或信息诊断,都会通过一个“母舰”进行,只要知道车辆的VIN码,身份验证后就能成为任意一辆特斯拉车主,并发送远程控制命令。

当时,休斯在北卡罗来纳州的家中,一边与当时特斯拉的软件安全主管打着电话,一边随手召唤了一辆远在加利福尼亚州的车。

有系统,就会有漏洞。白帽黑客报告的漏洞也让马斯克心有余悸,他在2017年7月便坦言,最担心有人发起“车队级别的黑客攻击”。

“理论上说,如果有人能破解所有特斯拉汽车,还要搞恶作剧,就可以命令美国各地所有特斯拉都自动驾驶到罗德岛,这将成为特斯拉的末日。”

对于发现和报告系统漏洞的人,特斯拉每次都会给予奖励,并连夜修补这些漏洞,其实类似问题并不是特斯拉独有,几乎所有支持远程控车的车厂都面临着这样的威胁。

车主隐私数据轻易泄露

还有一些隐私问题,也是特斯拉车主意想不到的。

前段时间,白帽黑客GreenTheOnly称,他在ebay上买到12个特斯拉的媒体控制单元(MCU),发现MCU已成为隐私数据泄露的源头。

白帽黑客GreenTheOnly

他购买的每个模块内,都包含着前车主的家庭住址、公司地址、WIFI密码、通讯录、通话记录,甚至还有YouTube与Google的账号密码。

原因是,媒体控制单元上的信息并没有加密,全以明文形式储存。

换言之,前车主的隐私数据是在裸奔。

在各种门教育之下,当前民众对电子设备的数据安全还是挺重视的,比如不少人宁可把不用的手机锁进抽屉,也不会出售给他人,因为手机数据即便删除后也有被恢复的可能。

其他网站上也有出售媒体控制单元,价格各有不同

可是特斯拉车主也许想不到,一旦他们因为更换故障设备或是升级设备,拆卸下媒体控制单元后,就会面临着同样的风险。

GreenTheOnly建议,特斯拉车主在拆下媒体控制单元之后,要么把部件完好无损地寄回给总部,要么用铁锤将其彻底毁坏。

随着智能网联汽车的普及,特斯拉今天遇到的问题,明天可能会成为每一位车主都将面临的问题,针对智能汽车网络安全及隐私保护等问题,各国政府也纷纷开始重视起来。

2019年11月,欧盟网络安全局(ENISA)就公布了《智能汽车安全的良好实践》报告,罗列了评测威胁、风险和攻击场景的安全实践,并在检测、网络与协议保护、OTA软件安全、云安全、密码、访问控制等方面进行提议。

欧盟网络安全局(ENISA)公布的《智能汽车安全的良好实践》

2020年2月,国家发改委等11部委联合印发的《智能汽车创新发展战略》中,也明确提出要“构建全面高效的智能汽车网络安全体系”。

图源:欧盟网络安全局(ENISA)

毕竟,智能汽车是大势所趋,不可能因为存在风险就因噎废食,更重要的是尽可能赶在问题发生之前,找到它,解决它。

评论

    匿名评论
  • 评论
人参与,条评论

热门新闻

汽车好评排行