19歲“駭客”連續破解25輛特斯拉

從事網路安全研究的 19 歲德國男孩 David Colombo 最近有一個大發現。

他在為一家法國公司進行安全審查時注意到，該公司網路中的一個軟體程式洩露了公司 CTO 所駕駛的特斯拉的所有資料，包括這輛車的駕駛記錄和當時的精確位置。

但這還沒完，隨著調查的深入，Colombo 意識到，他可以向使用該程式的特斯拉推送指令。這就使得他能夠劫持車上的一些功能，包括開啟和關閉車門 / 車窗、調高音樂、播放影片、開啟無鑰匙駕駛和禁用安全功能等。但是，他無法控制汽車的轉向、制動等操作。

Colombo 的發現在推特上引發了熱烈討論。在物聯網裝置無處不在的今天，網路安全問題牽動著每一個人的神經。

在 1 月 11 日釋出的推特上，Colombo 表示，他已經可以向 13 個國家的至少 25 輛汽車上推送指令。後續的分析表明，這一數字可以擴大到數百輛。

值得注意的是，這些缺陷並不存在於特斯拉的汽車或特斯拉的網路上，而是存在於一款可以收集和分析自己汽車資料的開源軟體上。

在發現這些問題之後，Colombo 聯絡了特斯拉的安全團隊。他向該團隊提供了截圖和其他檔案，詳細解釋了他的發現，並確定了受影響的第三方軟體的製造商，但未向媒體公佈細節。該團隊隨即開始了調查。美國國家公路交通安全管理局發言人也表示，已就此事與特斯拉保持聯絡，該機構的網路安全技術團隊將協助評估和審查資訊。

由於 Colombo 並沒有提供該軟體的詳細資訊，所以推特使用者正在做出自己的猜測。比如有很多人就將特斯拉數千個認證 token 過期的事情與該事件聯絡在一起。

但特斯拉解釋說，Colombo 所報告的漏洞涉及另一個平臺。由於該平臺使用了 V2 Tesla token，而這些 token 都已經過期了，所以沒有 TezLab 使用者因為 David 帖子中所說的漏洞而面臨風險。

Teslascope 創始人 Tyler Corsair 也在推特上澄清道：「Colombo 提到的那些使用者使用了一個名為 Teslamate 的開源專案，然後錯誤地對其進行了配置（部分原因是開發人員設定了錯誤的預設配置），因此任何人都可以遠端訪問它。」在接到報告之後，他們已經推出了補丁。

10 歲開始程式設計，15 歲創辦公司

根據領英個人頁面的介紹，Colombo 專攻網路安全方向。他聲稱「在 10 歲時編寫了第一段程式碼」，他的公司目標是「幫助每個企業免受網路空間中不斷髮展的威脅行為者的影響」。

母親在他 13 歲那年患上了乳腺癌，並於次年去世，他選擇進一步沉浸在程式設計中，以分散自己的注意力。

厭倦了學校的節奏之後，他和父親在自己 15 歲那年成功申請到特批，允許他每週只去兩天學校，剩下的時間用來擴充套件網路安全技能，並建立了一家名為 Colombo Technology 的諮詢公司。

「我不得不學習拉丁文和文學分析，然後我就在想，為什麼？我可以專注安全方面的東西保護公司，」他說，並補充說他認為學校「是在浪費時間」。

Colombo 說，他參與了幾個「漏洞賞金」計劃，一些公司會向獨立安全研究人員懸賞發現產品中弱點的計劃，並向幫助他們評估安全性的公司尋求諮詢。

網聯汽車有多脆弱？

當然，這並不是網路安全人員第一次披露涉及網聯汽車的潛在嚴重安全漏洞。2015 年，兩名安全研究人員披露了一次攻擊，《連線》雜誌的一名記者在美國的高速公路上以每小時 70 英里的速度駕駛這輛車時，他們遠端控制了一輛吉普切諾基並關停了其引擎。由於連線網際網路的資訊娛樂系統存在缺陷，該汽車製造商召回了 140 萬輛汽車和卡車，這是網路安全問題引發的第一次汽車召回事件。

從那時起，研究人員開始披露他們發現的許多其他駭客風險，這些風險越來越多地來自汽車的複雜電子裝置之中。

Jeep 駭客事件曝光後不久，另一組研究人員披露了特斯拉 Model S 中的軟體缺陷，這些缺陷可能使駭客能夠關閉行駛中的汽車引擎。研究人員與特斯拉協調後，後者釋出了軟體修復程式。

2020 年，特斯拉 Model X 的自動駕駛儀多次被駭客入侵。在一個研究案例中，以色列本古裡安大學的研究人員透過在道路、牆壁或標誌上閃爍「幻影」影象來欺騙汽車，使其意外剎車或轉向錯誤的方向。