专栏首页FreeBuf特斯拉两款汽车被曝可遭到GPS欺骗攻击

特斯拉两款汽车被曝可遭到GPS欺骗攻击

近日,Regulus Cyber公布了一项研究,发现特斯拉的两款车Model 3和Model S存在一些“问题”,容易受到针对导航系统的网络攻击。

GPS欺骗可导致汽车驾驶偏移

特斯拉汽车的Navigate on Autolilot功能,号称是史上最先进的自动驾驶功能,在对其进行测试时发现,遭到攻击会导致汽车在行驶过程中突然减速并主动偏离主干道。

Regulus Cyber最开始在研究特斯拉时发现存在漏洞,随后发现该漏洞可以被黑客利用,只要对GNSS(全球卫星定位系统,也称GPS)的接收器进行欺骗,可通过无线和远程的方式进行,就能干扰到汽车的正常驾驶。据悉该安全漏洞是由于汽车的关键任务远程信息处理、传感器以及导航功能的存在问题而导致的。

Model 3的自动驾驶功能

Regulus的专家上周前往欧洲并试驾特斯拉Model 3,测试Navigate on Autopilot功能。该型号的增强版自动驾驶具有主动引导功能,能够自动简化导航路线,以及实时提醒行车道变更和路口出入,这些也都会主动提示驾驶人员。

最初,这款车型还需要驾驶员在汽车变道之前手动发出变道或转弯信号以确认车道变化,但新版本的自动驾驶可以省略这一步骤改为自动执行,这意味着汽车处在了完全自动的驾驶状态。并且,特斯拉对此强调,直到关于自动驾驶的相关规定正式出台前,驾驶人员都不应该随意切换手/自动驾驶模式,可能会导致安全问题。

对欺骗攻击的反应

为了正确反馈出Model S和Model 3在面对欺骗攻击时的反应,研究人员将测试初始点选在了汽车在道路中保持恒定的速度,自动驾驶处于正常行驶的状态。

当测试开始时,汽车距离规定出口还有3英里的距离,但汽车却提前反应了——减速-打转向灯-变道转弯,冲着马路牙子就去了。司机立即激活手动控制,但也无法阻止汽车驶离道路。

测试中,还有另一项意外发现,进一步增加了威胁——汽车导航和悬架之间的联系。因为悬架系统在行驶过程中能够探测当前行驶的道路,不论是平坦还是越野状态,能够自动调节汽车底盘的高低来避免行驶中出现阻碍。而在汽车遭到攻击时,悬架系统也会出现误判段导致车辆底盘擅自变化。

Regulus Cyber联合创始人Yoav Zangvil对此解释说,GNSS欺骗对于ADAS(Advanced Driving Assistant System)和自动驾驶汽车带来的威胁非常大。目前来说,卫星定位系统和地面传感器对汽车行业的影响正在进一步增加,人们对GPS的依赖性也越来越大,行业的发展前景仍然明朗,但如何权衡收益和风险,是当下汽车企业需要作出的决策之一,主动部署网络安全策略至关重要。

使用低成本的软硬件进行评估

Regulus Cyber的测试旨在评估欺骗攻击的成本,搞明白硬件和软件对于汽车的影响。测试表明,发动攻击所使用的技术所任何人都可以通过电商网站和Github的开源项目购买或访问的,使用现成的工具取得特斯拉的GPS控制权要不了一分钟。能够远程影响汽车驾驶的方方面面,包括导航、功率计算、悬挂系统等等,遭到攻击时,GNSS系统就无法在地图上正确显示位置了。

特斯拉关于漏洞的回复

在对Model 3进行测试之前,Regulus Cyber团队曾将对Model S的研究发给了特斯拉的安全团队,对方作出了如下回应:

任何使用公共GPS的系统都会受到GPS欺骗攻击的影响,这也是为什么这种攻击会被联邦定罪。虽然这项研究没有证明任何漏洞是特斯拉独有的,但我们依旧会对此采取相应的保护措施,我们相信我们的产品能够抵御这种攻击。 GPS欺骗攻击对特斯拉汽车的影响很小,并且不会造成安全风险,因为它最多只会升高或降低悬架,这也可能是在常规驾驶中驾驶员从自动切换到手动模式导致的。 虽然这些研究人员在使用Autopilot或Navigate on Autopilot功能时没有测试GPS欺骗造成的影响,但我们知道使用这些功能时驾驶员必须对汽车的行为负责,应当可以随时自主控制汽车导航或自动驾驶功能或方向盘。

简单来说就是:死不认错。

专家回应

专家表示对方的回应让人非常失望,特斯拉在自动驾驶技术中以领导者自居,但作为安全人员,对特斯拉发出这样的驳回言论似乎并不意外。因此,研究人员表示:

对GPS系统的攻击是犯罪行为没错,因为他们造成的影响可能会很危险。正如测试所证明的那样,用来模拟攻击的设备任何人都可以在公开的电商平台上买到,这增加了风险; 特斯拉表示采取保障措施,但实际上,特斯拉的汽车对GPS技术的依赖性非常大,欺骗性攻击应当是主要解决问题之一,而不是现在才开始重视; 在汽车驾驶过程中,出现欺骗攻击,轻则影响用户驾驶体验,重则可能造成生命危险; 自动驾驶辅助系统中所调用的GPS越多,遭到欺骗攻击的可能性就越大,这个结果是无法预测的; 此外,欺骗攻击能够直接通过物理操作影响汽车行驶,包括意外加减速转弯等,这也揭示了不安全的GNSS能够带来多大风险,而未来这类系统的使用只会越来越多; 随着车企逐渐开始转型自主研发,除了技术方面不断推陈出新,在安全方面也不能掉以轻心,需要取得用户的信任,现下的特斯拉就是一个很好的反例; 由于每个GNSS/GPS系统都会受到欺骗攻击的影响,因此这不仅仅是汽车企业的问题,政府和安全企业也必须重视。

Zangvil强调,特斯拉已经表示很快就会发布使用GNSS的全自动驾驶汽车,但在这个问题解决之前,这意味着所有特斯拉汽车都有被黑客控制的可能,作为用户我们有义务监督特斯拉在安全方面做出了哪些改善。

虽然说安全研究人员只测试了Model S和Model 3,但他们的结论是,很可能所有特斯拉的产品中都存在这个GNSS的安全隐患,毕竟整个特斯拉团队用的都是同一组芯片。

几个月前,日内瓦车展上,有七家不同的汽车厂商表示他们的汽车遭到了欺骗攻击,这也表明,基本所有研发自动驾驶汽车的企业都逃不了这个问题。如何取得用户的信任,保障车主的安全,这是每个汽车厂商都应该主动做好的事情。

*参考来源:helpnetsecurity,Karunesh91编译,转载请注明来自FreeBuf.COM

本文分享自微信公众号 - FreeBuf(freebuf),作者:Karunesh91

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2019-06-22

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 解码针对工业工程领域的网络攻击 Operation Ghoul「食尸鬼行动」

    ? 1 介绍 卡巴斯基于2016年6月监测到了Operation Ghoul(食尸鬼行动)网络攻击,Operation Ghoul针对30多个国家的工业、制造...

    FB客服
  • 黑客可以通过电源线从计算机窃取数据

    来自以色列内盖夫本古里安大学的研究人员一直致力于通过旁路攻击从计算机窃取数据。最新的研究成果是通过电源线传播的电流波动隐蔽地窃取高度敏感的数据。

    FB客服
  • 滥用ThinkPHP漏洞的僵尸网络Hakai和Yowai

    网络犯罪分子正在利用一个在2018年12月被发现和已修补的ThinkPHP漏洞传播Yowai(Mirai变种)和Hakai(Gafgyt变种)两种僵尸网络病毒。

    FB客服
  • 马斯克预测,明年年底能够实现完全自动驾驶

    今日最新消息,特斯拉CEO马斯克在博客直播时称,到今年年底特斯拉将具备实现完全无人驾驶汽车所需要的全部技术。这是特斯拉与投资公司ARK Invest的凯茜·伍德...

    镁客网
  • 特斯拉全新自动驾驶芯片最强?英伟达回怼,投资者用脚投票

    在刚刚结束的自动驾驶投资者日上,特斯拉发布了全自动驾驶(FSD)计算机(也就是 Autopilot 硬件 3.0),特斯拉芯片架构师 Pete Bannon 称...

    AI科技大本营
  • SQL反模式学习笔记5 外键约束【不用钥匙的入口】

    一些开发人员不推荐使用引用完整性约束,可能不使用外键的原因有一下几点:

    张传宁老师
  • 特斯拉自动驾驶系统曝光,可识别不断变幻的交通灯

    关于自动驾驶的商用,虽然谷歌、苹果各家都投入不少,但从现状来看还是显得遥遥无期,其推进难度也显而易见。但在今年年中的特斯拉年度股东大会上,马斯克却公开表示,明年...

    镁客网
  • 特斯拉「全自动驾驶」功能上线,马斯克:要上车抓紧了,下周一就涨价!

    在周三的特斯拉财报电话会议上,马斯克表示,未来将有更多的特斯拉车主获得自动驾驶软件的更新,目标是在今年年底之前能「广泛发布」。

    新智元
  • 谍照曝光!特斯拉正在测试完全自动驾驶

    这意味着,特斯拉正在研发和测试“完全自动驾驶”功能。跟现在特斯拉只能实现的L2+级别自动驾驶,完全是天壤之别。

    量子位
  • 即便对无人车最乐观的AI大牛,也不看好马斯克的RoboTaxi宏图

    在特斯拉最近的投资人开放日现场,马斯克抛出最新宏伟蓝图——发布全自动驾驶芯片FSD后,马斯克称最快2020年(明年),特斯拉就会推出Robotaxi(无人驾驶出...

    量子位

扫码关注云+社区

领取腾讯云代金券