“央视新闻”近日报道,比利时鲁汶大学的研究人员在11月23日发布的一项研究显示,特斯拉Model X或存在重大安全漏洞,黑客可通过蓝牙连接破解特斯拉Model X的"无钥匙进入系统"并在几分钟内开走这辆Model X汽车。
相关安全研究人员表示,Model X无钥匙进入系统存在两个最严重的漏洞 -- 缺少对钥匙卡固件更新来源的验证以及BCM对钥匙卡数字证书的验证。据悉,研究人员已在8月份将Model X无钥匙进入的漏洞报告给了特斯拉,特斯拉方面在确认存在安全漏洞之后,已经开始着手对漏洞进行修复。
1
众所周知,特斯拉可以通过空中升级(OTA)的方式来修复系统漏洞或为系统增加新的功能,但此次成功“行窃”是因为研究人员发现特斯拉Model X无钥匙进入系统的空中升级功能存在漏洞,即通过蓝牙连接向电子钥匙(Key Fob)写入未经认证的固件,并提取车辆解锁的指令码,然后窃取Model X。
解锁车辆后,再利用钥匙和CAN总线通信中的漏洞让汽车车身控制系统(BCM)将复制的钥匙识别为备用钥匙,成功地将伪造的电子钥匙与Model X进行配对绑定,从而获得永久的车辆控制权限。
2
爱迪德Keystone,让盗车贼望风而逃?
作为全球数字安全领导者,爱迪德推出的Keystone数字钥匙解决方案不会受此类攻击的影响,因为Keystone并不依赖安全启动保护加密密钥、进行消息验证、抵御主动攻击、以及防止ECU和手机软件的恶意替换。通常,我们建议使用代码校验和Root检测的安全保护机制来确保数字钥匙的安全。
爱迪德的车身防盗系统CAN总线保护机制
3
什么是Cloakware核心软件安全技术?
爱迪德Cloakware核心软件安全技术包括源代码级的保护方案和二进制级的保护方案,是一套先进的软件安全技术、网络安全库文件和安全工具,通过复杂的数据、函数和控制流转换、反调试、白盒密码以及动态的完整性验证来保护用户的密钥、代码和数据等关键数字资产。
爱迪德Cloakware软件保护是将先进的安全技术直接集成到客户的软件构建过程中,将应用程序保护嵌入到源代码层面,同时提供针对平台的二进制保护作为补充,确保在不影响易用性和快速部署的情况下实现最高级别的软件保护。
延伸阅读:
爱迪德“Cloakware®软件保护”在2019年网络安全大奖评选过程中荣获年度创新产品大奖
http://www.cheyun.com/content/29507
爱迪德在CESA2018上宣布推出Keystone,为司机们打造了一把安全的虚拟车钥匙!
https://mp.weixin.qq.com/s/IziKqq1AkA92LAiJkx8J1Q
往期推荐
