科恩实验室在2017年世界黑客大会分享研究过程

ICT（信息、通信和技术）企业将特斯拉看做传统制造业的一部分。理由是特斯拉不但组织起类似传统车企的供应链（虽然供应商数目少得多），还大规模聘请了来自传统车企的技术和管理人才，更为靠谱的证据是，特斯拉的“起步”与传统车企密不可分。戴姆勒在底盘调教上曾帮助过特斯拉，它还利用了丰田的旧厂房。

特斯拉自己则认为自己是一家科技企业，从产品到服务，与传统车企相差甚远。特斯拉卖出产品后，固然要为客户提供保修和保养服务，但他们在更大范围内使用网络和数字化服务体系，监测车辆状态。特斯拉汽车具备网联的初级功能，相应地，它们对汽车的数据安全体系构建，也比传统车企积极得多。

在2017年世界黑客大会（Black Hat）期间，科恩实验室分享了研究过程、特斯拉的回应，以及后续行动。并且，他们首次分享了对特斯拉的整个攻击过程细节，然后揭示特斯拉如何实现空中升级和代码签名的功能。此外，科恩实验室还探讨了针对特斯拉问题的新型解决方案，并分享对这些方案的看法。

攻破特斯拉

特斯拉自成立之初就建立了信息安全部门，在去年科恩实验室（Keen Lab）发现安全漏洞之后，特斯拉1.5小时便回应了科恩提出的漏洞。

科恩实验室在2017年世界黑客大会分享研究过程

然后研发团队在10天做了以下事情：设计了新的代码签名机制，完成了代码走查和重构测试，并发布向外界发布通告，向客户提供现场更新和OTA升级OS系统。

作为对照，2015年JEEP自由光（参配、图片、询价） 被白帽黑客查理·米勒黑掉，结果是菲亚特召回140万辆已售车，给每个消费者寄软件升级U盘，或者引导后者去服务中心升级软件，前后花了几个月和上亿美元。

作为世界顶级白帽黑客团队的科恩试验室，是如何寻找特斯拉系统漏洞并攻破的呢？

科恩试验室大致阐述了远程无接触攻击特斯拉的路线图。只有具备网络模块和WiFi路由端口的汽车才有可能被无线攻破，这一点毋庸置疑。

科恩透露，他们寻获了车机浏览器漏洞，利用Linux系统的缺陷，获取最高权限（full access）。接下来的事情就顺理成章了，在CAN总线中获取了多个车载系统的控制权，并绕过ECU固件完整性检测，并刷入自定义的网关ECU固件，从而获取向CAN总线“讲”的权限，一旦做到这一步，黑客可以对这辆车为所欲为了。

值得一提的是，在特斯拉做出极大努力，在Linux系统上修补了所有外界已知的内核漏洞。并引入代码签名机制，防止软件被篡改和伪造。但科恩后来称，找到一个未公开的漏洞（0day），再度实现了获取full access。

继2016年利用特斯拉多个高危安全漏洞实现对特斯拉的无物理接触远程攻击，腾讯科恩实验室2017年再次发现多个高危安全漏洞并实现了对特斯拉的无物理接触远程攻击，能够在驻车模式和行驶模式下对特斯拉进行任意远程操控。

2017年的特斯拉研究，有几大技术亮点。第一，实现了和2016年一样的完整攻击效果，最终入侵特斯拉车电网络实现任意远程操控。第二，本次研究中在特斯拉多个模块发现0Day，目前科恩实验室正在和特斯拉及相关厂商协商漏洞的国际CVE编号。第三，特斯拉为了提升车辆安全性，在2016年9月增加了“代码签名”安全机制，对所有FOTA升级固件进行强制完整性校验，本次研究突破了该“代码签名”机制。第四，本次研究展示中的“特斯拉灯光秀”效果，涉及对特斯拉多个ECU的远程协同操控，体现了科恩实验室对车电网络中各ECU模块的安全研究能力。

科恩实验室在2017年世界黑客大会分享研究过程

2017年6月底，科恩实验室已经按照“负责任的漏洞披露”流程，将本轮研究中发现的所有安全漏洞技术细节报告给特斯拉美国产品安全团队。特斯拉产品安全团队快速确认了漏洞有效性和危害，并于7月初进行了快速修复并通过FOTA推送了升级系统固件。本次研究中发现的问题影响特斯拉多款已售和在售车型，根据特斯拉安全团队的报告，目前全球范围内绝大部分特斯拉车辆已经通过FOTA成功升级系统固件，确保了特斯拉用户的行车安全。我们再次感谢特斯拉安全团队的快速响应和快速修复。

科恩实验室提醒特斯拉车主，请确认您的爱车已经升级到8.1 (17.26.0)或以上版本。如果现有版本低于该版本，请尽快升级，确保安全漏洞得到及时修复，避免行车安全问题。

细节的争论

不过，科恩试验室公布的概要过程，引来专业人士的质疑。在科恩试验室黑掉特斯拉的演示视频中，科恩的工作人员让车主搜索了一下附近的充电桩。这是否是黑掉特斯拉必要的步骤？这一点至关重要。如果是必须的，那么就意味着黑客必须诱骗车主打开浏览器，并连上恶意WiFi，才能进行植入。这并非主动攻击，可以视为一种“钓鱼”，其技术新鲜度和价值直线下降。

科恩对此进行了否认，他们简单称，也不需要车主打开浏览器，也不需要连接指定WiFi。科恩拒绝对此做出详细解释，理由是要等特斯拉完成修复之后，才予以公布细节。

还有质疑认为， RTOS（Real-Time OS硬实时系统）能够实现嵌入式系统的稳定性和安全性。有能力入侵RT底层系统，才能证明科恩的实力。

而科恩证实了特斯拉车机用的是Linux系统，即17寸屏幕能够控制的内容（车机）；而底层ECU系统采用了硬实时，两者都被科恩攻破了。

车机内容和雨刷、天窗、倒镜一类的控制，都属于Linux系统，即被黑客们视为比较容易黑掉的“外壳”。就底层关键系统而言，油门、刹车和方向盘都属于关键控制对象。

有趣的是，有些人认为，科恩没有能力控制转向，而是可以使方向盘变得沉重，很难扭转方向，这意味着没有夺取转型控制权，仅仅黑掉了空气助力泵。同时，刹车系统本身也没有被黑掉。只是让刹车助力失效，踩下刹车非常费劲。在高速行驶中，都达到了临界（Critical）威胁程度。

科恩仍然坚持认为触碰到了所有安全红线操作，即拿到full access，并称“远不止”拿到车机系统控制权。

从特斯拉的反应来看，基本支持了科恩的说法。从特斯拉迅速的弥补动作，和给予科恩团队奖励来看，科恩的发现是有价值的。

对于普通车主而言，只要按时接受厂家建议，及时更新系统，似乎就没有什么可担心的了。他们甚至意识不到潜在攻击的存在。

事实上也大致如此。在特斯拉引入签名机制后，寻找漏洞就变得很困难。但科恩试验室人员最终也发现代码签名的绕过路径，在多个车载ECU上执行非授权代码，实现整车的远程控制。

要不要联网

特斯拉虽然以创纪录的速度弥补了漏洞，并未造成任何实际损失。但科恩的模拟攻击引发了大讨论。

长期以来，汽车相当于封闭的工控系统。在特斯拉这样的企业带动下，汽车行业也开始利用互联网的高效来提升效率。特斯拉在后台推送更新补丁，而菲亚特则将客户召至门店或者寄送U盘，后者构成成本劣势。底层系统要不要保留OTA更新手段，这是个问题。

无论业内人士，还是普通消费者，都担心汽车核心控制系统接入互联网，或者保留接入互联网的物理通道（尽管描述不太专业），是非常危险的。

大家都赞成将车机、车辆传感器的一些信息连上网。如果被黑，大不了没有GPS信号，没办法在线听歌，这样的威胁级别，被特斯拉归为低级别（Low）。不至于对人的生命安全构成威胁。

无论消费者、ICT厂商，还是汽车厂商，都同意信息安全是IoT（物联网）的必然挑战。和传统互联网一样，黑客的攻击行为很难全面预测，并彻底禁绝。但在关系到生命安全的汽车上，始终不完善的防御机制实际上输不起。OTA技术虽然必要，但如果本身的安全性无法保障，客户是不会放心使用的。

科恩试验室进行的一部分工作，就是给包括特斯拉在内的主机商“找麻烦”。论证方法则是模拟攻击能找到的一切漏洞，再建议厂家阻止攻击的方法。特斯拉已经比很多传统汽车商在数据安全机制上做得更好，但对ECU内核的安全性提升仍不够。因为他们在OTA的运用上走得更远，他们有责任率先建立一整套的车联网安全体制。

在IoT时代到来之前敲响警钟，远比没有准备就行驶在未知水域上要好得多。

注释：本次研究可以实现的无物理接触远程控制效果，请参考文中视频。科恩实验室提醒，本视频中展示的实验结果为专业研究行为，请勿模仿。在此也感谢腾讯汽车对这次效果展示的大力协助。