【谦川解读】特斯拉事件：安全，智能汽车的达摩克利斯之剑

试想你某天正开着百万元的特斯拉惬意地享受着速度带来的愉悦体验，车窗突然诡异地被打开，音响里放着的莫扎特足以穿透耳膜，车灯毫无征兆地不停闪烁......而这一切，车内的你却无能为力，你的小心脏从惬意到惶恐，只需要几秒钟的时间。

导语

在智能汽车以不可阻挡的脚步发展之时，安全会成为智能汽车发展中永不逾越的鸿沟吗？智能和安全只能相爱相杀吗？而车企如何来帮助消费者保护自己安全、让驾驶不再出现隐患？

一.特斯拉被黑事件

近日，国际媒体报道了一则德国19岁少年成功入侵全球13个国家的25辆特斯拉汽车的新闻。消息一经发出，便引起了整个汽车行业乃至安全圈的热切讨论。据悉，这名德国少年名叫Colombo，他自己在Twitter上宣布：他发现了特斯拉第三方软件上的一处漏洞，“允许”他远程解锁门窗、控制车内安全警报，甚至无需钥匙启动车辆。

幸好，这位少年没有恶意，只是当这些车辆具体位置被曝光后，他可以随意查看车主是否在车辆附近，车辆被盗无法避免。

（1）事件背景

这次成功入侵特斯拉，源于他在为一家法国公司进行安全审查的工作。这位天才少年意识到，他可以向使用该程序的特斯拉随意推送指令，劫持车上的一些功能，包括：打开和关闭车门/车窗、声量大小、播放视频、开启无钥匙驾驶和禁用安全功能等。但是，他无法控制汽车的转向、制动等 *** 作。

（2）官方回应

当然，这些漏洞本身并不存在于特斯拉的汽车、网络上，而是存在于一款可以收集和分析汽车数据的第三方开源软件上。特斯拉方面解释说，他所报告的漏洞涉及另一个平台。由于该平台使用了 V2 Tesla token，特斯拉让所有未使用车辆的用户里的token进行过期处理。所以没有TezLab的使用者会由于他所报告的漏洞而面临风险。

Teslascope 创始人也在推特上澄清：“被黑的那些用户使用了一个名为 Teslamate 的开源项目，然后错误地对其进行了配置（部分原因是开发人员设置了错误的默认配置），导致任何人都可以远程访问它。”目前，他们已经推出了补丁。

（3）事件复盘

综合来讲，整个事件的产生是由于特斯拉本身的APP上只有一些像动力系统、车辆控制等一些关键信息，无法满足车主们进一步的扩展需求，像Teslamate这种第三方开源软件在此背景下应运而生，用户只需使用一个开源平台，登录用户信息便可通过开源平台访问Tesla系统，进而享受开源平台提供的扩展应用。当然，方便用户、拓展功能的同时，开源软件的弊端也随之而来。

有需求，自然就会有市场，相Tesla Mate和Tesla scope这样的第三方平台应运而生。这些第三方平台通过逆向分析Tesla手机APP，发现Tesla后台服务器的各种API（包括数据收集、远程车控等）以及登录时使用的加密算法后，进而利用爬虫技术从Tesla后台获取车辆数据，这才导致了这次特斯拉被黑事件。

也就是说：

1）首先，Tesla车主通过浏览器登录Tesla Mate并安装Docker，然后输入了Tesla官网的账号；

2）然后，Teslamate通过模拟Tesla APP访问后台API，并使用车主的账号密码登录Tesla官网系统，从而拥有了数据访问及远程车控的权限；

3）登录后 ，Tesla服务器将返回一个V2 Tesla Token给Tesla mate；

4）而此时的Tesla mate将存储这个Token，而且V2 Token并没有设定失效时间；

5）此时车主便可以用手机等各种终端设备访问Tesla mate，实时查看车辆数据以及进行远程车辆控制；

6）当Tesla 车主通过Teslamate向车辆发出一个车控指令的时候，由于Teslamate已经缓存了V2 Tesla Token，因此Tesla服务器后台将根据指令向远程的Tesla车机发送远程车控指令，如播放音乐或开空调等。

但此时，黑客的可乘之机也随之而来。黑客通过利用Teslamate平台漏洞或者车主浏览器漏洞可以获得缓存中存储的V2 Tesla Token，进而黑客利用Token就可以仿冒用户登录，获得数据访问和车控权限，于是就将发生文章开篇提到那样令人惶恐的情景。

此事件看似已得到解决，可是在智能汽车以不可阻挡的脚步发展之时，安全会成为智能汽车发展中永不逾越的鸿沟吗？智能和安全只能相爱相杀吗？而车企如何来帮助消费者保护自己安全、让驾驶不再出现隐患？

TEE可执行安全环境的重要性，就在此彰显。

（4）应对方案

虽然安全事件的发生主体是Tesla，但是我们相信此类事件在此刻以及不久的将来，同样会发生在其他智能网联汽车上，因此我们将基于这个安全事件将给出相应的应对方案。

由于我们不清楚Tesla对于Tesla Mate这样的第三方平台持何种态度，因此我们将设计两套方案来应对不同的情况。

方案一 ：假设Tesla自此对第三方平台予以限制，禁止类似的非授权访问。

如图所示，Tesla在手机端嵌入Soft TEE用来保护证书密钥以及Token的安全，在云端使用硬件TEE以及TAM（Trusted Application Management可信应用管理平台），并与车端TEE建立“手机-云-车”的端到端信任链，从而不仅确保黑客无法通过车机和手机窃取Token，同时通过双向可信验证的方式实现“一验一钥、一机一钥”的效果。

当然这样做的结果也是两面性的，一方面虽然确保了车辆和数据的安全性，另一方面由于缺少了第三方平台的服务，Tesla 车主也就无法享受之前的扩展数据服务了。

方案二 ：假设Tesla将提供一套技术体系支持第三方应用的生态，只要Teslamate这类平台服务相关技术要求，就仍然可以继续提供目前的服务。

注：V-Trust是谦川科技自主开发的TEE套件，支持硬件版的V-Trust TEE OS和软件版的Soft TEE SDK，两种部署模式，同时内置支持Secure SOA安全服务框架及DRC设备风控系统。

如图所示，Tesla通过双向可信验证技术建立和管理一条横跨第三方平台、手机APP、车机APP的信任链，实现安全的第三方数据检索和远程车辆控制功能。为确保信任链的安全建立，Tesla需要做如下几件事情：

在Tesla服务器平台部署支持硬件 TEE（可信执行环境）的TAM（可信应用管理平台），用来验证TAM前置机、车机APP以及用户身份等信息，从而建立Tesla服务器 → TAM前置机 → Tesla车机的信任链在Teslamate平台部署通用一套TAM前置机（由Tesla管理），用来存储Tesla V2 Token，并对Teslamate APP完成验证，建立TAM前置机 → 手机APP的信任链在手机端 Teslamate APP中部署软件版 Soft TEE SDK，用于安全存储TAM前置机派生的V3 Token，并提供设备风控和可信安全界面，确保用户输入Tesla官网账号信息时的安全性在Tesla车机部署硬件版的TEE，用来存储Tesla V2 Token，建立与Tesla服务器平台TAM的信任链，并通过派生算法对Teslamate APP完成验证，实现通过NFC/BT/WIFI等近场方式的手机车控功能

根据上述几个阶段的双向可信验证，最终可以实现如下图所示的信任链关系：

需要注意的是：

首先，车主通过Docker部署Teslamate后，在浏览器登录Teslamate，然后输入Tesla官网的账号，此时Teslamate将账号信息转交给前置机进行可信验证，此时浏览器并不会存储V2 Token，这样就避免了由于浏览器漏洞导致的Token泄露。

其次，Tesla 服务器拥有对TAM前置机、Tesla车机以及用户账号信息的验证功能，以及对V2 Token的控制权，可以设定其有效期，或者使其立即失效。

最后，通过手机APP设备风控、车机IDS与VSOC（Vehicle Security Operations Center）的实时威胁感知，可以对各种安全事件进行应急响应，并根据预设规则判断是否需要对信任链进行熔断。

02谦川小贴士

Soft TEE是谦川科技面向手机及IoT设备硬件平台碎片化问题设计开发的软件安全方案。通过集成Soft TEE SDK，可使APP在软件层获得更高的安全能力，从而确保密钥、Token在有效期内的安全性。同时，通过集成Soft TEE SDK还可以方便的与云端TAM以及车端V-Trust TEE建立信任链，实现更灵活的可信安全通信。

简单而言，Soft TEE是软件版的V-Trust TEE，适用于在不方便部署硬件V-Trust TEE的设备中，通过APP集成的方式实现增强的软件安全能力，例如在手机APP车控、无钥匙解锁等场景中，通过软、硬件V-Trust TEE的配合使用，可完美的解决安全性与灵活性的问题，为车联网业务的灵活发展提供坚实的可信安全根基。

原文链接--【谦川解读】特斯拉事件：安全，智能汽车的达摩克利斯之剑