年僅19歲的德國少年大衛.可倫坡(David Colombo)本週在資安領域成為了全球焦點,因為他聲稱發現的資安漏洞,讓他成功遠端駭進全球13個國家,超過25輛的特斯拉電動車。
雖然可倫坡指出,問題不是出在特斯拉電動車身上,而是受到許多車主使用的一款用於收集及分析車輛行駛數據的開源軟體,但特斯拉資安人員還是在該消息爆出後主動聯繫了他。
這事甚至驚動了美國政府,美國國家公路交通管理局聲稱,他們已經就此事聯繫特斯拉,他們的資安團隊也會協助評估事情的嚴重程度。
可倫坡表示,儘管他駭進特斯拉電動車後,並不能直接控制車輛移動,但能夠做到操控車頭燈、車內音響、按喇叭、開啟車門等行為,依舊對行車安全有所影響。
「這種事不應該發生。」可倫坡認為,「尤其是我們讓車子連上網路,並致力確保其安全無虞。這需要每個人一起努力。」
遠端操控25輛特斯拉,開源軟體漏洞引關注
根據《彭博社》報導,他在為一間法國公司做資安稽核(security audit)時,發現有些不尋常的地方,公司網路內的一款軟體,竟披露了執行長的特斯拉電動車各種資料,包括車輛過往所有行駛數據,以及當下所處的位置。
可倫坡因此提起興趣深入研究,最終發現他不只能夠閱覽各種行駛紀錄,甚至可以主動向遠在他方的電動車發出指令,像是開關車門、播放音樂等,即使沒辦法實際控制方向盤、腳踏板,依然相當危險。
但因為該漏洞還沒有修復,因此可倫坡並沒有公開關於操控車輛是怎麼實現,以及漏洞的詳細資訊。
他的推文在網路上7,200個以上的按讚,以及超過1,100次的分享,這個發現毫不意外地在網路上成為話題焦點。「迴響非常瘋狂。」可倫坡表示,「支持反對特斯拉雙方的討論非常激烈,整個事情完全爆開了。」
不過,他聲稱自己是特斯拉的粉絲,強調特斯拉的電動車在這次事件中並沒有任何問題,問題反倒是在車主身上,但他只是個普通人,沒有辦法一一找到車主並通知漏洞所在,因而決定公開這個漏洞。
10歲一頭栽進程式世界,15歲成立公司幫企業解決資安難題
可倫坡從10歲開始接觸程式語言,13歲時母親罹癌的惡耗,更讓他全心投入在學習寫程式中,好分散自己的注意力,卻也因此成為練就寫程式本領的契機。他的母親在隔年不幸辭世。
15歲,一個剛邁入高中生活的年紀,他卻認為上學是件浪費時間的事。「我非得學拉丁文和文學賞析,我想這是為什麼?(這些時間)我可以保護企業,做些跟資安有關的事。」可倫坡指出。
最後是他的父親幫他向德國政府申請,每週可以只去學校兩天,剩餘的時間他就用來磨練自己的資安能力,甚至創立了一間資安公司Colombo Technology,協助世界各國的企業評估資安防護能力。
根據Colombo Technology官網,該公司主要提供的服務有滲透測試、資安稽核、資安諮詢,並會舉辦各種資安主題的活動。他在LinkedIn上的介紹寫道,「我希望幫助每個企業在網路世界中,免於受到日益增加的駭客威脅。」
4年內聯網汽車突破4億輛,電動車可能成駭客眼中肥羊
雖然這次問題不是出在特斯拉身上,但身為電動車先驅,並以線上更新軟體為賣點,自然也受到更多資安專家的審視。加上特斯拉過往也有被發現嚴重資安漏洞的歷史。
2020年11月,比利時天主教魯汶大學資安研究人員沃特斯(Lennert Wouters)就披露Model X門鎖中的一個漏洞,讓有心人士能在短短90秒內,偷走一輛高價的電動車。
根據網路資料庫《Statista》的數據,預計2025年全球將有超過4億輛聯網汽車,未來不只是電腦與手機,電動車也可能成為駭客入侵與竊取資料的目標。尤其當人類甚至有意將駕駛的任務也交給AI時,保證車輛免受駭客威脅也必須更受到重視。