据报道,总部位于英国的安全公司NCCGroup的一名顾问展示了利用某些特斯拉汽车无钥匙进入系统中的安全漏洞的能力,该漏洞可能使他能够轻松窃取车辆。
虽然这在特斯拉(Model3和ModelY易受攻击)上得到了证明,但NCC集团的首席安全顾问SultanQasimKhan表示,安全漏洞并不是该汽车制造商的车辆所独有的。
Khan向彭博新闻展示了他的发现,进行了中继攻击,黑客使用两个小型设备转发通信。为了解锁车辆,他在特斯拉车主的智能手机或遥控钥匙的15码(14米)半径内放置了一个继电器,同时将第二个设备插入汽车附近的笔记本电脑。
利用可汗为蓝牙开发套件编写的计算机代码,他能够解锁汽车、上车并将其转换为驱动器。总而言之,该系统花费了他大约100美元,所有部件都可以轻松在线访问,并且黑客只需大约10秒即可执行。
“攻击者可以在晚上走到任何家——如果车主的手机在家里——用蓝牙被动进入汽车停在外面,并利用这种攻击来解锁和启动汽车,”Khan告诉彭博社。“一旦该设备靠近遥控钥匙或手机,攻击者就可以从世界任何地方发送命令。”
这位顾问说,他是通过修补特斯拉的无钥匙进入系统发现的,该系统依赖于蓝牙低功耗(BLE)协议。这最初旨在方便地将设备连接在一起,但它已成为许多人的安全难题,允许黑客解锁各种智能技术,包括房锁、汽车、电话、笔记本电脑等。事实上,NCC集团表示,这一技巧适用于其他几家汽车制造商的车辆。
管理蓝牙的公司集体的一位代表表示,它与安全研究社区合作解决该技术发现的漏洞。与此同时,NCC集团表示,它已于本周末通知特斯拉及其其他客户。
幸运的是,没有证据表明窃贼利用黑客攻击不正当地访问特斯拉汽车,但可汗声称该汽车制造商并不认为安全漏洞是重大风险。不幸的是,要修复它,他说公司必须对其无钥匙进入系统进行硬件更改。