2022 年，法国一个安全研究公司 Synacktiv 的两位工程师 David Berard 和 Vincent Dehors 在 Pwn2Own 国际大赛上成功在 0 接触的前提下通过 WiFi 入侵车载 Tesla OS 打开了雨刮、灯、前行李箱。 两位工程师写了一份报告，我整理了一部分出来。 特斯拉服务使用的个人用户数据和凭证等敏感数据存储在 LVM 加密分区中。 加密密钥受硬件保护，并且每辆车都是唯一的。 要提取此密钥，需要首先在英特尔 SoC 上执行（特权）代码。 代码完整性和真实性由最先进的安全启动检查。 安全启动根密钥在硬件上编程，无法从英特尔 SoC 中提取。 它们用于检查引导加载程序并启动信任链：检查下一个软件组件： - 引导加载程序已签名并经过验证。 - Linux 内核由引导加载程序检查。 该签名封装了嵌入到内核二进制文件中的 initrd。 - initrd 挂载 eMMC 分区并在 rootfs SquashFS 分区（也是只读的）上使用 dm-verity - 所有可执行文件都位于此 SquashFS 中，不在该分区中的数据被视为不可信。 - 游戏是一种特殊情况：它们打包为 SquashFS 文件并具有自己的 dm-verity 配置。 总之，安全启动功能得到了很好的实现，并确保只有经过身份验证的软件才能在信息娱乐系统上启动。 通过加密和无法执行不受信任的代码来确保敏感数据的机密性。 Tesla OS 基于 Linux，是特斯拉深度定制的 Buildroot 发行版。 所有系统应用程序都存储在 SquashFS 分区中（只读并受 dm-verity 保护）。 Init 系统称为 runit，与图形界面应用程序一样，在启动后直接启动许多特斯拉服务。 该设计的特点是经过深思熟虑的深入防御，它依赖于以下几个原则： - 限制攻击面 - 隔离并限制应用权限 - 使漏洞更难被利用 内核配置是攻击面限制的一个很好的例子。事实上，只有有用的选项被启用，其他所有选项都直接从编译中被禁用。 这种非常轻的配置限制了远程和本地攻击的攻击面。 为了使利用更加困难，配置还包括所有强化选项：KASLR、强化分配器（强化空闲列表、随机空闲列表…）。 用户态应用程序有多种安全机制。 首先，每个服务都以自己的 UID 和自己的文件运行，并且无法轻松地与其他进程或系统进行交互。 二进制文件通常使用强化选项进行编译，例如使用 ASLR (PIE)、具有堆栈 cookie 和微调映射保护。 但是，二进制文件中不存在 CFI（控制流完整性）。 特斯拉是多次 Pwn2Own 大赛的攻击目标，他们也是该活动的赞助商。 比赛期间（2019 年、2022 年、2023 年）至少展示了 3 次成功和 1 次失败的针对特斯拉汽车的攻击。 这些攻击给特斯拉提供了修复漏洞的机会，同时也让特斯拉看到了外界真正的攻击和利用方法。 查看攻击者路径对于改进整个系统以更好地抵抗此类利用技术（强化、设计选择、沙盒）非常有用。 除了 Pwn2Own 之外，特斯拉还在 BugCrowd 平台上为其基础设施和车辆运行漏洞赏金计划。 安全研究人员可以向特斯拉的产品安全团队注册他们的车辆。 如果安全研究人员在注册车辆上进行测试时遇到软件问题，特斯拉会协助在服务中心刷新软件。 如果安全研究人员展示了对信息娱乐系统的 root 访问权限，特斯拉会向他们提供 SSH 密钥，授予他们在一年内对其车辆进行完全管理员访问的权限。 这允许安全研究人员继续他们的研究并进一步分析车辆的安全性。 这是特斯拉向安全研究人员提供的激励措施，以鼓励协作并提高其产品的安全性。 特斯拉正在积极致力于从硬件设计阶段到生产阶段的车辆组件的安全性，并通过包含安全增强和修复的 OTA 更新。 他们设置了许多障碍来降低外部攻击的风险，限制妥协的影响，并加大在不同系统之间进行转换的难度。 这使得特斯拉汽车成为安全研究人员研究的一个有趣的系统，因为攻击它代表了一个引人入胜的技术挑战。 另外，组织 Pwn2Own 竞赛的公司 Zero Day Initiative 宣布了 2024 年专门针对汽车行业的新一届竞赛。这种竞赛将会使参与的制造商能够衡量其针对真实攻击的安全级别。