天下网商记者 王安忆
屋漏偏逢连夜雨。
马斯克在特斯拉电池日上画了很多饼,爆了不少金句,但全世界好像都有一点失望。
为了强调特斯拉软硬件一体的智能属性,马斯克还说,“可以把我们的车,看作是轮子上的笔记本电脑。”
既然是笔记本电脑,自然就有死机重启的风险。
马斯克一语成谶,电池日结束后的第二天上午,特斯拉就遭遇了全面网络中断,大量特斯拉车主无法通过App连上汽车,甚至特斯拉公司内部系统也宕机了。
Electrek网站主编弗雷德·兰伯特的推特
受此影响,特斯拉股价大幅跳水,截至9月23日美股收盘狂泻10.34%,市值蒸发了409亿美元。
更重要的是,这起事件为人们敲响了警钟,在汽车全面迈入智能网联时代后,智能汽车的网络安全如何保障,车主的个人隐私靠什么保护。
特斯拉App宕机影响全球车主
“救命!”一位推特网友紧急@了马斯克和特斯拉,“我在沙漠里的超级充电桩,现在被困在我的Model 3外面,(App)连不上车,我快打了两个小时的紧急道路救援电话了。”
美东时间周三上午11点开始,特斯拉突然遭遇了完全的网络中断,越来越多的车主,无法通过特斯拉App连接到汽车。
和其他车型不同,特斯拉App是车主的重要工具,能控制车上许多功能。
比如,特斯拉的实体车钥匙,需要额外花钱选配,取而代之的是感应卡片和手机App解锁。
虽然特斯拉官网建议车主要始终准备好功能性实体钥匙,但在习惯了手机App解锁的便利之后,大部分车主不会在意这句提醒。
此外,特斯拉车主还可以通过手机App远程设置供暖、空调、后备箱、前行李箱,监控充电、定位车辆和预约各类服务,以及控制解锁车辆Autopilot系统等等。
比如Autopilot系统有一个“智能召唤”功能,使用App就能让爱车从停车位上启动,并自己开到你面前。
特斯拉车主试用“智能召唤”功能
总之,特斯拉App挂了,对车主影响非常大。
与此同时,特斯拉官网也发生了故障。
一位芝加哥准车主刚好在官网下订单,结果网站丢失了他的信用卡信息,而且不让其再次填写。
在特斯拉的内部系统,也无法访问客户连接功能,导致工作人员无法处理订单和交付。
特斯拉的能源产品也遇到同样问题,太阳能和Powerwall储能电池用户无法监控他们的系统运行状态。
这一次,特斯拉的网络中断波及范围不小。
宕机追踪网站DownDetector的热点图显示,全球范围内,遭遇网络中断的车主大部分来自美国,包括旧金山、波士顿、纽约和芝加哥等城市,在欧洲,包括英国、德国和俄罗斯等国的部分车主也受到了影响。
特斯拉几乎年年都会宕机
网络中断,系统宕机,特斯拉车主其实并不陌生,较大规模的事故,每年至少总得来上一次。
2016年,特斯拉系统瘫痪了一整天后,车主才能重新接入互联网,使用远程数据、流媒体音乐、实时导航等功能。
2017年3月,特斯拉的App和API(应用程序编程接口)宕机几乎长达24小时,车主也是无法通过App连接汽车。
2018年4月,众多特斯拉车主再次经历了长时间App宕机。
2019年9月,特斯拉App大面积宕机,故障持续了大约4个小时。
今年5月13日,国内也有大批车主反映,特斯拉App宕机,手机连不上车,无法点亮中控屏,也就看不到车速和电量,老司机只能凭借直觉“盲开”。
通常,特斯拉都不会就宕机事件作出解释,只会回复一句“问题已修复”。
至于本次断网事故的原因,有知情者称,是因为特斯拉App的API(编程接口)内部中断造成,这可能与特斯拉即将推出的双重认证功能有关。
而在中国特斯拉App宕机事件中,虽然不到两个小时就修复了问题,但当晚有车主爆料,发现特斯拉API域名证书竟然过期,并未及时续费。
资深汽车行业分析师卡尔·布劳尔说,“当我们获得更多便利时,我们往往会变得更加期待并依赖它。”
正是因为对App依赖很深,每次断网、宕机都会对特斯拉车主造成不小的麻烦,尽管重启之后,App看上去又是完美如初。
远程操控别人的特斯拉
除了宕机断网,特斯拉App也时不时暴露出一些漏洞。
不久前,一位中国车主的特斯拉App,就莫名其妙连上了大洋彼岸不知道哪五位朋友的车,不但可以查看这些车辆的所有信息,甚至还能远程控制解锁车门、打开车窗、开启空调等。
2016年,腾讯科恩实验室的白帽黑客,就成功入侵了特斯拉Model S的系统,接着又在一年后破解了Model X的车载系统。
他们不需要物理接触汽车,就实现了对刹车系统、转向灯、座椅位置以及门锁系统的控制。
此外,腾讯科恩实验室的白帽黑客还对研究了Autopilot系统的安全性,并通过实验证明,即使车主没有主动开启Autopilot系统,也可利用该功能通过游戏手柄操控车辆的行驶方向。
2017年,著名的特斯拉白帽黑客杰森·休斯,在特斯拉服务器端发现一个漏洞,可以获取全球每个超级充电桩的数据。
休斯甚至找到一连串“BUG链”,发现特斯拉的任何远程指令或信息诊断,都会通过一个“母舰”进行,只要知道车辆的VIN码,身份验证后就能成为任意一辆特斯拉车主,并发送远程控制命令。
当时,休斯在北卡罗来纳州的家中,一边与当时特斯拉的软件安全主管打着电话,一边随手召唤了一辆远在加利福尼亚州的车。
有系统,就会有漏洞。白帽黑客报告的漏洞也让马斯克心有余悸,他在2017年7月便坦言,最担心有人发起“车队级别的黑客攻击”。
“理论上说,如果有人能破解所有特斯拉汽车,还要搞恶作剧,就可以命令美国各地所有特斯拉都自动驾驶到罗德岛,这将成为特斯拉的末日。”
对于发现和报告系统漏洞的人,特斯拉每次都会给予奖励,并连夜修补这些漏洞,其实类似问题并不是特斯拉独有,几乎所有支持远程控车的车厂都面临着这样的威胁。
车主隐私数据轻易泄露
还有一些隐私问题,也是特斯拉车主意想不到的。
前段时间,白帽黑客GreenTheOnly称,他在eBay上买到12个特斯拉的媒体控制单元(MCU),发现MCU已成为隐私数据泄露的源头。
他购买的每个模块内,都包含着前车主的家庭住址、公司地址、WIFI密码、通讯录、通话记录,甚至还有YouTube与Google的账号密码。
原因是,媒体控制单元上的信息并没有加密,全以明文形式储存。
换言之,前车主的隐私数据是在裸奔。
在各种门教育之下,当前民众对电子设备的数据安全还是挺重视的,比如不少人宁可把不用的手机锁进抽屉,也不会出售给他人,因为手机数据即便删除后也有被恢复的可能。
其他网站上也有出售媒体控制单元,价格各有不同
可是特斯拉车主也许想不到,一旦他们因为更换故障设备或是升级设备,拆卸下媒体控制单元后,就会面临着同样的风险。
GreenTheOnly建议,特斯拉车主在拆下媒体控制单元之后,要么把部件完好无损地寄回给总部,要么用铁锤将其彻底毁坏。
随着智能网联汽车的普及,特斯拉今天遇到的问题,明天可能会成为每一位车主都将面临的问题,针对智能汽车网络安全及隐私保护等问题,各国政府也纷纷开始重视起来。
2019年11月,欧盟网络安全局(ENISA)就公布了《智能汽车安全的良好实践》报告,罗列了评测威胁、风险和攻击场景的安全实践,并在检测、网络与协议保护、OTA软件安全、云安全、密码、访问控制等方面进行提议。
欧盟网络安全局(ENISA)公布的《智能汽车安全的良好实践》
2020年2月,国家发改委等11部委联合印发的《智能汽车创新发展战略》中,也明确提出要“构建全面高效的智能汽车网络安全体系”。
毕竟,智能汽车是大势所趋,不可能因为存在风险就因噎废食,更重要的是尽可能赶在问题发生之前,找到它,解决它。
参考资料:
techcrunch:tesla experienced an hour long network outage early wednesday
electrek:Tesla suffers complete network outage, internal systems and connectivity features down
electrek:tesla mobile app network wide outage
electrek:Tesla’s car data network is down in the US, it’s a ‘top priority’ and ‘currently being fixed’
worldnewsera:Tesla built a network of connected cars. What happens when it goes down?
futurism:hacker reportedly gained access teslas entire fleet
electrek:Elon Musk says preventing a ‘fleet-wide hack’ is Tesla’s top security priority
