一位安全研究人员透露,特斯拉Model X的无钥匙进入软件中的漏洞意味着黑客可以在短短几分钟内使用蓝牙连接将其窃取。
根据《连线》杂志的一篇报道,比利时大学鲁汶大学的安全研究人员Lennert Wouters透露了他在Model X汽车及其智能钥匙中发现的一系列安全缺陷。
窃贼可以利用这些漏洞足够聪明,以读取汽车的VIN(车辆识别号),该VIN通常可以通过挡风玻璃在汽车的仪表板上看到。
然后,黑客/小偷只需要站在受害者的密钥卡的大约四米之内,即可通过蓝牙连接重写密钥卡上的固件,提取Model X的解锁码,然后开车上车。主人仍然把钥匙放在口袋里,再没有比这更明智的选择了。
Wouters先生说,虽然您可能会想象一些高科技的坏蛋拥有一辆装满笔记本电脑的货车,但要抢劫抢劫所需的硬件仅花了300美元,而且很容易装进背包。
更好的是,实际的黑客攻击部分可以通过小偷的电话进行控制,这几乎不会令人怀疑。
在短短90秒内,硬件即可提取用于解锁Model X的无线电代码。
一旦进入车内,另一个特斯拉软件漏洞将使黑客在工作仅一分钟后即可将自己的空白密钥卡与受害者的车辆配对,然后将车开走,并配有新钥匙来操作它。
Wouters先生说:“基本上,两个漏洞的组合使黑客能够在几分钟内偷走ModelX。” Wouters先生计划在1月份的Real World Crypto会议上介绍他的发现。“将它们结合在一起,您将获得更强大的攻击。”
Wouters先生很友好地就8月份的黑客事件向特斯拉发出警告,并被告知该公司计划在本周内尽快向其密钥卡推出其著名的无线软件更新,这应该可以防止在分为两部分的黑客攻击中至少要迈出第一步。
特斯拉告诉Wouters先生,补丁可能需要近一个月才能推出,因此Model X所有者应在未来几周内安装所有更新,以防止黑客入侵。
研究人员尚未发布任何代码,也未透露使盗车贼能够进行黑客攻击的细节。