Подключенные автомобили часто обсуждают с точки зрения их потенциальной уязвимости для хакеров. Мысль о том, что кто-то может вызвать аварию, удаленно направив ваш автомобиль с дороги или применив тормоза, пугает, но пока риск был довольно ограничен.
Tesla Model S, как флагманский «подключенный автомобиль», постоянно находится под прицелом хакеров. Некоторые демонстрировали возможность управлять автомобилем, но только через физическое подключение к автомобилю, что не сильно отличается от угона автомобиля путем «замыкания» проводки.
Теперь группа хакеров из Китая продемонстрировала то, что они описывают как первый удаленный взлом Tesla Model S.
Хакеры из Keen Security Lab китайского технологического конгломерата Tencent обнаружили уязвимости и сообщили о них Tesla перед публикацией видеодемонстрации сегодня.
По данным команды, Tesla уже выпустила обновление для устранения уязвимостей, использованных в демонстрации. Мы запросили официальный комментарий от Tesla по этому поводу и обновим информацию, если получим ответ. Автопроизводитель выпустил новую версию своего обновления 7.1 ранее на этой неделе, до публикации видео.
В своем блоге Keen Lab написала:
«Насколько нам известно, это первый случай удаленной атаки, которая компрометирует CAN Bus для достижения удаленного управления автомобилями Tesla. Мы проверили вектор атаки на нескольких вариантах Tesla Model S. Разумно предположить, что другие модели Tesla также затронуты».
Вот демонстрация группы:
Активация таких функций, как открытие панорамной крыши, демонстрировалась и ранее и могла быть достигнута путем компрометации приложения Tesla, которое разрешает эти действия, но активация тормозов без физического подключения, вероятно, является первым подобным случаем.
Keen Security Lab не вдается в подробности того, как им удалось осуществить взлом, но мы видим, что автомобиль должен был отправить запрос онлайн, прежде чем они смогли получить над ним контроль. Автомобиль мог находиться в точке доступа Wi-Fi, контролируемой командой.
Если что-то и произошло, то они сделали каждую Tesla на дороге немного безопаснее!
Обновление: Tesla прислала нам следующее заявление, подтверждающее, что им нужно было подключиться к точке доступа Wi-Fi:
«Всего через 10 дней после получения этого отчета Tesla уже развернула обновление программного обеспечения по воздуху (v7.1, 2.36.31), которое устраняет потенциальные проблемы безопасности. Продемонстрированная проблема активируется только при использовании веб-браузера, а также требовала, чтобы автомобиль физически находился рядом с вредоносной точкой доступа Wi-Fi и был к ней подключен. Наша реалистичная оценка риска для наших клиентов была очень низкой, но это не помешало нам отреагировать быстро.
Мы взаимодействуем с сообществом исследователей безопасности, чтобы тестировать безопасность наших продуктов, чтобы мы могли устранять потенциальные уязвимости до того, как они приведут к проблемам для наших клиентов. Мы высоко оцениваем исследовательскую команду, стоящую за сегодняшней демонстрацией, и планируем вознаградить их в рамках нашей программы вознаграждений за ошибки, которая была создана для поощрения такого рода исследований. „