【导读】最近，一位家住德国的19岁黑客突然火了！他在推特上表示自己可以遥控超过25辆特斯拉。这个小伙子可不简单，10岁开始写代码，高中时一周只去上两天学，而现在已经创业当老板了。

一个风和日丽的下午，你开着一辆崭新的特斯拉行驶在高速路上。 

驾驶辅助完美地保持着车速，全身放松的你正在享受这美好的驾驶体验。 

突然，车内的音响开始以爆炸般的音量疯狂输出Rick Astley的「Never Gonna Give You Up」。 

你吓了一跳，惊慌失措地想要靠边停车。 

这时候，车窗突然降了下来，车门也自己弹开，车灯像着了魔一样闪个不停。 

如果这不是一场噩梦，那么幕后黑手可能是一位19岁的小伙儿。 

和你一样的倒霉蛋，全世界可能还有20几个，而且还都开着特斯拉。 

你的特斯拉已经被我「控制」了‍

前两天，一位来自德国的19岁年轻黑客突然发推表示，自己已经实现了10个国家的20多辆特斯拉的远程控制。 

随后，这个数字很快就增加到了13个国家和超过25辆特斯拉。 

自称是信息技术安全专家的David Colombo表示，他在一个第三方软件中发现了缺陷，可以让黑客远程控制车辆的一些功能，比如，解锁车门、控制窗户，或者在没有钥匙的情况下启动汽车，并关闭特斯拉的安全系统。 

不过，使用这个软件的特斯拉车主并不是很多。 

（图文无关） 

在接受彭博社的采访时，Colombo提供了他的研究的截图和其他文件，确定了软件的制造商，并提供了漏洞的细节。 

Colombo表示，这个问题涉及软件以不安全的方式存储敏感信息，而这些信息则可以将汽车与程序相连。 

当黑客窃取之后，就可以向汽车发送各种指令，这是非常的危险。 

此外，他还向彭博社展示了通过推特进行的私人对话的截图，其中一位车主允许他远程按动他的汽车的喇叭。 

不过，Colombo拒绝公布具体细节，因为受影响的组织还没有对应的修复方案。 

Colombo自称是特斯拉的粉丝，并表示自己在10岁的时候就已经开始写代码了。 

由于对高中课程十分失望，他的父亲向德国当局申请，让他每周上两天学，其余时间用来扩展他的网络安全技能。 

此外，他还自己开了一家名为Colombo科技的公司。 

目前，Colombo表示特斯拉的安全团队成员已经与自己进行了接触，并将着手展开调查。 

需要澄清的一点是，Colombo并不能实现真正的「远程控制」，也就是远程驾驶这些特斯拉。 

不过，他依然可以在车主开车的时候突然把音量拉满吓「死」他们。 

虽然不能远程驾驶，但是可以根据定位在现实中找到其中的某一辆特斯拉，然后直接拉开门把车开走。 

这么看来，但凡是接入网络的汽车、冰箱还是扫地机器人等等，大概率都会面临被「黑」的风险。 

时不时就会被「黑」的特斯拉

实际上，即便不算上Colombo，这也早就不是黑客第一次实现远程访问特斯拉汽车了。 

2020年11月，一位名叫 Lennert Wouters 的英国安全研究人员表示，通过带有蓝牙信号的计算机连接到特斯拉 Model X 的遥控钥匙，可以重写安全固件，查询密钥卡的安全芯片，生成解锁代码。 

原因在于特斯拉软件系统的一个OTA固件升级漏洞。 

这些密钥卡没有用于固件更新的「代码签名」，如果车主通过蓝牙获得无线更新，系统无法确认固件代码是否是「来自特斯拉的不可伪造的加密签名」，从而导致固件被错误地重写。 

Wouters表示，如果一切顺利，只需不到90秒，就能在没有钥匙的情况下偷走一辆Model X。 

实际上，Wouters此前就向特斯拉报告了这个bug，后者在系统更新中发布补丁，修复了漏洞。 

无独有偶。去年，又有两位安全研究人员表示，可以使用无人机远程入侵特斯拉的信息娱乐系统。入侵成功之后就可以远程解锁车门、改变座位位置、播放音乐等。 

而且，为了证明不是吹牛，二人还专门拍了一段视频，并拿到了Cansecwest 黑客大会上做了展示。 

在视频演示中，无人机在车顶只盘旋了几秒钟，特斯拉的两个车门就很听话打开了。 

为了应对安全漏洞，特斯拉在发布程序补丁之外，还开设了一个报告漏洞的「赏金计划」，经过预先批准的安全人员可以注册车辆进行安全测试。 

如果在测试中发现符合条件的漏洞并及时提交报告，最高可以获得15000美元的报酬。 

不过，目前尚不清楚Colombo在推特上发布的消息是否符合特斯拉的奖励规定。 

40多万辆车刚被召回，又遭车管部门调查

最近一段时间，特斯拉在驾驶安全方面事件频发，不得不应对大规模召回和加州车管部门的调查。 

最近一次的大规模召回涉及356309辆Model 3和119009辆Model S ，原因是车辆的后视摄像头和前引擎盖存在潜在的故障风险。 

据报道，这次共需召回 475318 辆受影响的车辆，大约相当于特斯拉去年交付给客户的车辆总数。 

美国国家公路交通安全管理局（NHTSA）在两份召回警告中描述了两款车的具体问题。 

当用户开关后备箱时，Model 3车辆上的后视摄像头可能会受损，导致显示屏不显示，增加撞车风险。 

Model S的问题是前引擎盖的锁未对准，可能导致引擎盖无法正常锁闭，会突然打开阻挡驾驶员视线，增加撞车风险。 

后视摄像头问题涉及2017-2020年生产的Model 3，而前引擎盖锁的问题涉及2014-2021年生产的Model S。 

而且，与之前只通过无线更新就能修复的车辆不同，此次召回的部分车辆必须在车厂进行实体维修。 

前几天，特斯拉的「全自动驾驶」（FSD） 测试版在加州也被车管部门重新审查。 

据报道，加州机动车管理局（DMV）正在审查该功能，以确定这个说法是否符合「自动驾驶」的法律定义。 

对于特斯拉来说，这件事可能影响不小。这将决定特斯拉的车是否要受到加州关于自动驾驶汽车法律的约束。 

DMV发言人表示，「我们已通知特斯拉，将启动对其车辆技术的进一步审查，如果这些技术和功能符合加州法律法规对自动驾驶汽车的定义，DMV 将采取措施，确保特斯拉在适当的自动驾驶汽车许可下运营。」 

目前，加州 DMV 负责监督美国最大的自动驾驶汽车测试计划，有目前 60 多家公司获准在公共道路上运营测试车辆。只有少数获准在没有安全驾驶员的情况下操作全自动驾驶汽车，而获准将车辆用于商业用途的则更少。 

参考资料：

https://www.bloomberg.com/news/articles/2022-01-12/teen-hacker-claims-to-have-taken-control-of-25-teslas-worldwide

https://gizmodo.com/teen-security-researcher-claims-he-can-remotely-access-1848345072

https://www.theverge.com/2022/1/12/22880305/tesla-fsd-beta-california-dmv-autonomous-vehicle-letter

本文来自微信公众号“新智元”（ID:AI_era），编辑：David 好困，36氪经授权发布。