入侵一辆特斯拉Model S并非易事但也不是没有可能。Kevin Mahaffey跟Marc Rogers在上周表示能够远程解锁Model S车门、发动并开走。
此外他们还能向车辆发布“杀死”命令关闭车辆系统迫使车辆停下。随后他们在Defcon数字安全大会上演示了具体过程。
为何选择特斯拉Model S?
两人指出这么做的原因是他们认为特斯拉Model S将成为未来车辆的原型。Model S设计精良而且安全。实际上在他们演示的50分钟内有40分钟是在解释破解特斯拉所遇到的种种困境。
破解第一步:购买一辆特斯拉Model S
破解的第一步是购买一辆特斯拉Model S,然后仔细将仪表盘分离以获取里面的电子元件。硅露出来后,他们找到了一对可移动的SD卡(一张用于映射数据一张用于文件系统)、一个USB头、一系列诊断口、以及一条神秘的专有连接线。
SD卡中遇到的种种死胡同
研究人员试图通过USB头来获取访问固件的权限,但他们发现固件被锁定因此无法被利用。对SD卡数据进行研究后他们发现Model S的仪表盘软件是与用来利用PS Vita便携式游戏控制台一样的QtWebKit浏览器版本。不过特斯兰已经修复了这个问题,这样又进了死胡同。
然而,在这张SD卡上,研究人员发现一个名为carKeys tar的文件,里面包含无钥匙进入应答器在范围内时启动Model S的数字密钥。这是第一个谜,但之后的死胡同越来越多。
研究人员在仪表盘软件中发现可直接从特斯拉服务器下载车辆固件的链接,但只有在联网情况下通过特斯拉“航母”服务器的VPN才能访问这个链接。载车辆之外的通信中,研究人员无法将数据下载至电脑。
以太网连接端口帮大忙
进展看起来很慢,直到研究人员发现之前提到过的一个神秘端口:专属以太网连接。在入侵了以太网电缆及透明胶带下的适配器之后,他们才访问了车辆的车载网络。
各个击破
将车辆连接至网络交换机后,研究人员就进入了Model S与互联网的连接网络中并利用VPN连接到特斯拉服务器并下载、反编译固件。反编译过程中包含一个Monty Python“说‘Ni’的骑士”复活节彩蛋,但它本身并非解锁特斯拉的密钥。然而,固件会指向几个以不安全方式存储在其中一个数据文件夹中的密码。
研究人员发现的另外一个弱点是内置到每辆Model S中的无线连接。程序将车辆自动连接至所有特斯拉服务中心的无线网络中。通过欺骗其中的一个特斯拉服务网络(很容易做到),研究人员就拥有了对车辆的无线连接。
如此,无线连接、SD卡上的数字车辆密钥数据、以及连接特斯拉服务器的物理VPN连接几乎可以让研究人员完全获得访问一个名为 QtCarVehicle的资讯娱乐软件服务以及它可访问的所有车辆功能的权限。如果你之前乘坐过Model S,你就会明白中心资讯娱乐屏幕几乎能能够控制所有的一切。
限制条件
不过即便是以上提到的访问权限也会有一些限制。要做到这些,研究人员需要物理接近Model S获取对以太网端口及carKeys.tar文件的访问权限。也就是说人们不可能在Model S拿着电话就能随便获取控制权限。而且这种物理连接需要持续拥有,因为VPN安全令牌需要不断被发送至特斯拉的服务器,以防车辆无法使用各种功能。
虽然安全研究人员已经获得了访问Model S车载资讯娱乐网络的权限,但车辆本身并没有通过以太网发送任何原始的CAN数据,因此他们无法访问特斯拉合法API之外的任何东西。虽然可以在车速缓慢 时将其锁定,但Model S每小时约5英里速度的安全系统将会让司机控制方向盘以及刹车而不会导致紧急刹车的情况——尽管油门跟资讯娱乐仍可被禁用。