在8月1日至6日舉行的美國拉斯維加斯黑帽信息安全大會上���,有兩名研究人員公布了特斯拉Model S系統(tǒng)存在的六個重大安全漏洞�,并通過其中一個漏洞實現(xiàn)對車輛的控制�,以及在低速行駛狀態(tài)下迫使其熄火。
如今����,從智能家電到其他智能設(shè)備的數(shù)據(jù)都可以用來了解人們的生活方式或日常例程。為了保護隱私,大多數(shù)人盡量回避智能相機等可以窺視個人隱私的小玩意兒的使用���。但是,日常生活中�����,人們?yōu)榱朔奖?��,通常選擇使用各種智能家電����,如烤箱����、洗衣機,且使用程序從一而終����。為了避免麻煩,他們一般不會將軟件程序進行更新�����。隨著時間的推移����,黑客可以從這些設(shè)備軟件中逐漸找出漏洞�����,對設(shè)備生產(chǎn)公司缺乏防御和保護的只能裝置和未經(jīng)更新的安全軟件進行攻擊���。
事件 黑客公布特斯拉系統(tǒng)漏洞
在8月1日至6日舉行的美國拉斯維加斯黑帽信息安全大會上,有兩名研究人員公布了特斯拉Model S系統(tǒng)存在的六個重大安全漏洞���,并通過其中一個漏洞實現(xiàn)對車輛的控制�����,以及在低速行駛狀態(tài)下迫使其熄火��。
8月7日����,特斯拉向記者確認了Model S被入侵和操控的事實:“我們注意到了一些媒體關(guān)于Lookout 信息安全公司破解特斯拉的一些報道��。”
當天����,特斯拉緊急發(fā)布六條回應(yīng)��,其中一條否認特斯拉被遠程入侵�����,而是通過物理接觸:“Model S 并不是被遠程入侵的,Lookout研究團隊花費了很多時間研究Model S可入侵的漏洞�����,并且是在Model S真車上進行的漏洞測試(即物理接觸����,如接入汽車的電路),并不是采用遠程攻擊的方式�。”
特斯拉素以智能汽車著稱,一度定位為一家科技公司而非汽車公司���。但汽車的安全性要求非常高�,直接關(guān)系人的生命安全��。智能科技與汽車的結(jié)合����,不像手機�、電視機等其他電子產(chǎn)品一樣環(huán)境寬松��。
特斯拉車輛系統(tǒng)被網(wǎng)絡(luò)安全人員攻破���,去年在國內(nèi)曝光的也有兩次���,分別被360團隊和白帽黑客KeenTeam破解,并遠程控制車輛���。特斯拉當時做出了回應(yīng)���。
“絕大多數(shù)系統(tǒng)都有漏洞,理論上都可以被攻破���。”一家IT公司的軟件工程師對記者稱�����。這次特斯拉被遠程控制���,不是開始也不是結(jié)束����。
分析 系統(tǒng)漏洞無法根治 智能汽車尚處灰度空間
特斯拉的科技范���,就是將汽車更大范圍地IT化�,娛樂系統(tǒng)和操控系統(tǒng)都大量利用IT系統(tǒng)優(yōu)化���,是目前市面上IT化最廣的汽車�。
Model S其實就像一個智能移動終端;它采用全電子控制的方式����,是當今世界唯一一輛可以通過遠程系統(tǒng)升級改變��、提升整車性能的汽車����。這被特斯拉稱為空中升級。特斯拉車內(nèi)設(shè)置有感應(yīng)器和芯片����,它可以做到完整地去升級一些新的功能。
“它更像一個智能的硬件�����,好像iPhone,不需要換一個新的手機�,但是操作系統(tǒng)卻在不斷升級,是同樣一個道理�����。”特斯拉的一位內(nèi)部人士稱���。
不過���,自特斯拉誕生起,業(yè)內(nèi)一直懷疑汽車用IT系統(tǒng)控制會導(dǎo)致不安全���,因為它容易遭受黑客的攻擊���。
擔心很快就被證實。2014年7月15日���,360公司稱其發(fā)現(xiàn)了特斯拉Model S型汽車的應(yīng)用程序流程存在設(shè)計缺陷��,攻擊者利用這個漏洞�,可遠程控制車輛,實現(xiàn)開鎖���、鳴笛����、閃燈�、開啟天窗等操作。
特斯拉承認了被360破解的事實�����,緊急做出回應(yīng)稱���,將致力于與安全研究人員共同合作����,并采取快速行動進行應(yīng)對和修復(fù)�。
但三個月后����,白帽黑客KeenTeam舉辦的GeekPwn智能設(shè)備挑戰(zhàn)賽再次宣布破解特斯拉,現(xiàn)場演示了對行駛狀態(tài)中汽車的操控��,由前行轉(zhuǎn)為倒車,實現(xiàn)無人駕駛�。
影響 安全已成為物聯(lián)網(wǎng)頭號“攔路虎”
美國知名的調(diào)研、科技和業(yè)務(wù)咨詢公司Harbor Research公司調(diào)查顯示��,安全已成為開發(fā)商通過物聯(lián)網(wǎng)應(yīng)用盈利的兩大挑戰(zhàn)��。報告還指出�,許多開發(fā)商認為其自身缺乏技能和資源來實現(xiàn)對物聯(lián)網(wǎng)的預(yù)期。
該公司對670家來自美國�����、英國�、德國、法國�、瑞典、荷蘭和印度等的應(yīng)用開發(fā)商進行了相關(guān)調(diào)查���。結(jié)果發(fā)現(xiàn)���,開發(fā)商想要通過物聯(lián)網(wǎng)應(yīng)用盈利的兩大挑戰(zhàn)分別是保護數(shù)據(jù)隱私不被黑客入侵以及個人隱私保護。調(diào)查稱����,相信政府或行業(yè)組織能夠幫助其克服上述兩大困難的開發(fā)商分別只占8%和7%��。相反�����,多數(shù)開發(fā)商相信商業(yè)公司和開源社區(qū)能夠幫助它們應(yīng)對上述挑戰(zhàn)��。除了信息安全行業(yè)長久以來根深蒂固的觀念以外����,還由于經(jīng)濟原因��,互聯(lián)網(wǎng)應(yīng)用作為商品在還未發(fā)現(xiàn)其潛在的安全缺陷前就已被迫不及待地投入市場�����。但對于政府出臺的規(guī)定是否會對物聯(lián)網(wǎng)應(yīng)用開發(fā)產(chǎn)生積極作用�,認同和不認同的比例相當,分別為39%和34%�����。
報告還指出��,許多應(yīng)用開發(fā)商認為他們并沒有將技術(shù)和技能完美結(jié)合�。近半數(shù)參與調(diào)查的開發(fā)商稱,他們沒有或者并不確定自身是否有滿足顧客預(yù)期合適的技術(shù)����,另外51%則認為自身具備了必要的技能和資源。此外�����,45%的開發(fā)商稱���,他們并不具有收集�����、分析和使用物聯(lián)網(wǎng)數(shù)據(jù)的技能���。
免責聲明:本站所使用的字體和圖片文字等素材部分來源于互聯(lián)網(wǎng)共享平臺。如使用任何字體和圖片文字有冒犯其版權(quán)所有方的�,皆為無意。如您是字體廠商��、圖片文字廠商等版權(quán)方�,且不允許本站使用您的字體和圖片文字等素材,請聯(lián)系我們,本站核實后將立即刪除�����!任何版權(quán)方從未通知聯(lián)系本站管理者停止使用�����,并索要賠償或上訴法院的�,均視為新型網(wǎng)絡(luò)碰瓷及敲詐勒索,將不予任何的法律和經(jīng)濟賠償�!敬請諒解!
粵公網(wǎng)安備 44030402000264號