入侵特斯拉Model S是一件極為困難的事情，但并非不可能。

上周，研究人員凱文·馬哈菲(Kevin Mahaffey)和馬克·羅杰斯(Marc Rogers)的演示表明，他們能夠遠(yuǎn)程對(duì)Model S車(chē)門(mén)解鎖，發(fā)動(dòng)汽車(chē)，將車(chē)開(kāi)走。他們還能夠向Model S發(fā)出一條“致死”命令，讓Model S關(guān)閉系統(tǒng)，然后停車(chē)。在本周舉行的DEFCON安全大會(huì)上，他們向所有與會(huì)人士演示了如何做到這一切。

[[144952]]

困難重重

研究人員之所以選擇入侵ModelS，是因?yàn)樗麄兿嘈?ldquo;特斯拉Model S將是所有未來(lái)汽車(chē)的原型”。馬哈菲和羅杰斯發(fā)現(xiàn)，Model S設(shè)計(jì)優(yōu)良且安全。事實(shí)上，在他們50分鐘的演示過(guò)程中，大約有40分鐘是在談他們?nèi)肭痔厮估?chē)過(guò)程中遇到的死胡同。

入侵過(guò)程從私下渠道購(gòu)買(mǎi)一輛ModelS開(kāi)始，然后小心翼翼地將儀表板拆除，以了解汽車(chē)內(nèi)部的電子學(xué)設(shè)計(jì)。當(dāng)系統(tǒng)內(nèi)部設(shè)計(jì)展現(xiàn)在眼前后，他們發(fā)現(xiàn)了兩個(gè)可拆卸的SD卡(一個(gè)用于存儲(chǔ)地圖數(shù)據(jù)，一個(gè)用于存儲(chǔ)文件系統(tǒng))，一個(gè)USB接頭，一組診斷端口以及一條神秘的專(zhuān)用電纜。

研究團(tuán)隊(duì)試圖通過(guò)USB接頭訪(fǎng)問(wèn)系統(tǒng)固件，但發(fā)現(xiàn)固件已被鎖定，無(wú)法侵入。通過(guò)研究SD卡數(shù)據(jù)，他們發(fā)現(xiàn)Model S的儀表盤(pán)軟件使用了一種QtWebKit瀏覽器版本，該瀏覽器近期曾被用于入侵索尼PS Vita掌機(jī)。不過(guò)，特斯拉已經(jīng)對(duì)該瀏覽器的漏洞進(jìn)行了修補(bǔ)。研究團(tuán)隊(duì)遇到了又一死胡同。

然而，在同一張SD卡上，他們發(fā)現(xiàn)了一個(gè)名為carKeys.tar的文件。文件中包含無(wú)鑰匙進(jìn)入和啟動(dòng)Model S所需要的數(shù)位鑰。這只是首個(gè)待解謎團(tuán)，隨后研究團(tuán)隊(duì)又遇到了一系列死胡同。

在軟件中，研究人員發(fā)現(xiàn)了一個(gè)可以直接從特斯拉服務(wù)器中下載汽車(chē)固件的鏈接，但是它只能在汽車(chē)連接至網(wǎng)絡(luò)后，通過(guò)特斯拉“Mothership”服務(wù)器創(chuàng)建的虛擬專(zhuān)用網(wǎng)絡(luò)訪(fǎng)問(wèn)。借助特斯拉汽車(chē)自主通訊網(wǎng)絡(luò)以外方式，研究人員無(wú)法將數(shù)據(jù)下載到PC上。

突破口

入侵過(guò)程進(jìn)展緩慢，直到研究人員發(fā)現(xiàn)，上文提到的神秘端口僅僅是專(zhuān)用以太網(wǎng)接口。通過(guò)入侵適配器，馬哈菲和羅杰斯進(jìn)入到了Model S的供電和車(chē)載網(wǎng)絡(luò)(onboard network)中。

在將汽車(chē)連接至網(wǎng)絡(luò)交換機(jī)后，他們就可以侵入到特斯拉的內(nèi)網(wǎng)，使用其VPN連接到特斯拉服務(wù)器，下載和反編譯固件。作為對(duì)特斯拉汽車(chē)解鎖的關(guān)鍵，系統(tǒng)固件指向了少量不安全存儲(chǔ)在數(shù)據(jù)文件夾中的密碼。

下一個(gè)被發(fā)現(xiàn)的弱點(diǎn)則是每輛Model S都內(nèi)置的WiFi網(wǎng)絡(luò)。特斯拉對(duì)汽車(chē)進(jìn)行了編程，以讓后者在任意特斯拉服務(wù)中心都能自動(dòng)連接至無(wú)線(xiàn)網(wǎng)絡(luò)。該網(wǎng)絡(luò)的名稱(chēng)為“Tesla Service”，使用了一種靜態(tài)網(wǎng)絡(luò)密鑰。通過(guò)相對(duì)簡(jiǎn)單地入侵“Tesla Service”，研究人員現(xiàn)在將汽車(chē)連接至無(wú)線(xiàn)網(wǎng)絡(luò)。