近年來，全球?qū)τ谄�車�?lián)網(wǎng)安全的爭(zhēng)議一直未曾間斷，但在黑產(chǎn)與汽車廠商之間的博弈中，安全廠商的重要性卻有目共睹。騰訊安全聯(lián)合實(shí)驗(yàn)室旗下科恩實(shí)驗(yàn)室宣布全球首次以無物理接觸的方式成功獲取了特斯拉汽車的控制權(quán)，再度引發(fā)了外界對(duì)于車聯(lián)網(wǎng)未來安全發(fā)展的關(guān)注。

　　雖然目前針對(duì)汽車的攻擊事件還遠(yuǎn)未形成規(guī)模，但已然引起汽車廠商和安全廠商的重視。11月9-10日，CSS中國(guó)互聯(lián)網(wǎng)安全領(lǐng)袖峰會(huì)在北京國(guó)家會(huì)議中心舉辦，作為其中最值得關(guān)注的內(nèi)容之一，騰訊安全科恩實(shí)驗(yàn)室在次日召開的國(guó)際安全技術(shù)峰會(huì)中首次詳細(xì)分享了實(shí)驗(yàn)室“全球首個(gè)無物理接觸遠(yuǎn)程破解特斯拉”的破解技術(shù)，并闡述了科恩實(shí)驗(yàn)室在車聯(lián)網(wǎng)安全領(lǐng)域的研究方向及致力于搭建車聯(lián)網(wǎng)安全生態(tài)所取得的階段成績(jī)。

　　還原全球首例遠(yuǎn)程破解特斯拉技術(shù)

　　今年以來，以智能汽車為代表的物聯(lián)網(wǎng)高速發(fā)展，帶給人們諸多服務(wù)、便利以及交互變革。然而隨著汽車聯(lián)網(wǎng)能力的加強(qiáng)、自動(dòng)駕駛技術(shù)的進(jìn)步等等，汽車“智能化”程度在不斷地提升，隨之而來潛在的安全隱患也不斷提高。因此，智能汽車的安全博弈正在進(jìn)入一個(gè)新的階段。此前不久，騰訊安全聯(lián)合實(shí)驗(yàn)室旗下科恩實(shí)驗(yàn)室宣布全球首次以無物理接觸的方式成功獲取了特斯拉汽車的控制權(quán)，再度引發(fā)了外界對(duì)于車聯(lián)網(wǎng)未來安全發(fā)展的關(guān)注。

　　在本屆CSS安全領(lǐng)袖峰會(huì)“國(guó)際安全技術(shù)峰會(huì)”上，騰訊安全科恩實(shí)驗(yàn)室的安全研究人員聶森、劉令詳細(xì)介紹了全球首例遠(yuǎn)程破解特斯拉的技術(shù)。他們表示，目前車聯(lián)網(wǎng)和自動(dòng)駕駛還在初級(jí)階段，絕大部分汽車行車電腦不接入車聯(lián)網(wǎng)和互聯(lián)網(wǎng)，這種在信息上落后的汽車行業(yè)反而保護(hù)了大多數(shù)汽車安全。而特斯拉不同，特斯拉的核心系統(tǒng)是接入互聯(lián)網(wǎng)的，盡管核心控制部門是實(shí)時(shí)操作系統(tǒng)，與車機(jī)的Linux是兩個(gè)系統(tǒng)，但是兩者之間是有傳輸通道的，而利用這個(gè)通道就可以控制汽車的核心權(quán)限。本次實(shí)驗(yàn)室研究人員利用漏洞直接攻入特斯拉汽車模塊并拿到CAN 總線的權(quán)限，從而向汽車發(fā)送偽造的指令，實(shí)現(xiàn)真正的“遠(yuǎn)程攻擊”。

　　騰訊安全科恩實(shí)驗(yàn)室負(fù)責(zé)人吳石表示，安全技術(shù)是構(gòu)建安全生態(tài)的基礎(chǔ)。沒有安全技術(shù)的進(jìn)步與應(yīng)用，維護(hù)互聯(lián)網(wǎng)安全與合作將成為紙上談兵。在全球信息化掀起的創(chuàng)新和變革浪潮之下，移動(dòng)互聯(lián)網(wǎng)、智能終端、大數(shù)據(jù)、云計(jì)算、人工智能、物聯(lián)網(wǎng)等技術(shù)研發(fā)和產(chǎn)業(yè)化都取得了重大突破，安全技術(shù)同樣實(shí)現(xiàn)了創(chuàng)新跨越虛擬與現(xiàn)實(shí)、軟件與硬件。而這些重大改變，無疑將讓車聯(lián)網(wǎng)的發(fā)展更加安全有序。騰訊安全科恩實(shí)驗(yàn)室的安全技術(shù)研究，正是為了在“壞人”之前發(fā)現(xiàn)可能存在的安全漏洞及潛在威脅，而他們的研究成果也成為協(xié)助特斯拉等廠商完善安全技術(shù)、提升產(chǎn)品安全性能的重要保障之一。

　　人才能力輸出成就破解大師 漏洞成果共享賦能企業(yè)安全

　　事實(shí)上，攻破特斯拉的騰訊安全科恩實(shí)驗(yàn)室是一支由在信息安全理論和技術(shù)研究方面全球領(lǐng)先的中國(guó)“白帽”安全專家組成的信息安全研究隊(duì)伍，是世界范圍內(nèi)由廠商官方確認(rèn)發(fā)現(xiàn)計(jì)算機(jī)漏洞數(shù)量最多、最了解突破現(xiàn)代安全保護(hù)技術(shù)的專業(yè)安全團(tuán)隊(duì)之一，團(tuán)隊(duì)的數(shù)百項(xiàng)安全成果已經(jīng)應(yīng)用于世界上每一臺(tái)Windows PC、每一臺(tái)蘋果設(shè)備和每一臺(tái)安卓終端。而騰訊安全科恩實(shí)驗(yàn)室負(fù)責(zé)人吳石更是一位傳奇人物，他曾連續(xù)三年獲得ZDI全球漏洞計(jì)算機(jī)挖掘白金貢獻(xiàn)獎(jiǎng)，也是全球頂級(jí)黑帽成果Pwnies獎(jiǎng)第一個(gè)被提名的中國(guó)人，被福布斯雜志評(píng)價(jià)“發(fā)現(xiàn)的漏洞是蘋果整個(gè)安全團(tuán)隊(duì)的兩倍還多”。

　　對(duì)于騰訊安全科恩實(shí)驗(yàn)室漏洞挖掘的成果，吳石曾表示，實(shí)驗(yàn)室一方面通過挖掘漏洞提升實(shí)驗(yàn)室人員能力，同時(shí)通過挖掘漏洞能夠?qū)�安全能力輸出給廠商，通過廠商第一時(shí)間的回復(fù)響應(yīng)和加固，防止不懷好意的黑產(chǎn)業(yè)團(tuán)伙利用，對(duì)社會(huì)形成更高的價(jià)值和意義。而實(shí)驗(yàn)室挖掘漏洞的來源，并不僅限于國(guó)內(nèi)安全生態(tài)圈，甚至國(guó)外的企業(yè)也成為其完善的目標(biāo)。2016年3月，在素有“黑客世界杯”之稱的Pwn2Own 2016黑客大賽上，由騰訊安全科恩實(shí)驗(yàn)室和騰訊電腦管家組成的騰訊安全聯(lián)合戰(zhàn)隊(duì)，拿下4場(chǎng)比賽單項(xiàng)冠軍，以38分的滿分成績(jī)奪得世界冠軍頭銜，成為這一頂級(jí)賽事史上首個(gè)“世界破解大師(MasterofPwn)”。7個(gè)月后，在10月36日的MobilePwn2Own賽事中，騰訊安全科恩實(shí)驗(yàn)室團(tuán)隊(duì)表現(xiàn)驚艷，全球首次僅用時(shí)8秒攻破iOS10.1，10秒攻破Nexus6p，再獲破解大師。而破解所使用的漏洞，騰訊安全科恩實(shí)驗(yàn)室都會(huì)在第一時(shí)間交給相關(guān)廠商，保證廠商在全球的安全生態(tài)。

　　今年7月，騰訊安全聯(lián)合實(shí)驗(yàn)室成立，旗下涵蓋科恩實(shí)驗(yàn)室、玄武實(shí)驗(yàn)室、湛瀘實(shí)驗(yàn)室、云鼎實(shí)驗(yàn)室、反病毒實(shí)驗(yàn)室、反詐騙實(shí)驗(yàn)室、移動(dòng)安全實(shí)驗(yàn)室，安全防范和保障范圍覆蓋了連接、系統(tǒng)、應(yīng)用、信息、設(shè)備、云六大互聯(lián)網(wǎng)關(guān)鍵領(lǐng)域，各個(gè)實(shí)驗(yàn)室安全技術(shù)的反哺不僅讓騰訊安全的能力價(jià)值和影響力日益凸顯，同時(shí)也成為行業(yè)安全生態(tài)建設(shè)的重要驅(qū)動(dòng)。

　　針對(duì)當(dāng)前黑客頻繁利用產(chǎn)品漏洞，騰訊安全聯(lián)合實(shí)驗(yàn)室形成了一整套完善的漏洞防御體系——實(shí)驗(yàn)室研究人員專注漏洞挖掘并負(fù)責(zé)向第三方廠商報(bào)告，騰訊電腦管家、騰訊手機(jī)管家及時(shí)對(duì)存在漏洞的網(wǎng)站、軟件進(jìn)行攔截，同時(shí)向用戶提供漏洞修復(fù)解決方案。不僅如此，騰訊安全積極開放，向產(chǎn)業(yè)鏈上包括警方、銀行、運(yùn)營(yíng)商、企業(yè)等上數(shù)百個(gè)大型合作伙伴輸出安全能力，從而賦能企業(yè)安全。

　　吳石表示，我們希望今天的國(guó)際安全技術(shù)峰會(huì)，不僅是一個(gè)國(guó)際范疇的安全技術(shù)展示與未來趨勢(shì)探討的盛會(huì)，更是為加速技術(shù)創(chuàng)新、共享重要技術(shù)成果搭建一個(gè)長(zhǎng)期、持續(xù)的溝通合作平臺(tái)。以騰訊安全聯(lián)合實(shí)驗(yàn)室為代表的技術(shù)團(tuán)隊(duì)，正不斷通過國(guó)際間的交流合作，進(jìn)一步體現(xiàn)當(dāng)下中國(guó)安全人才的潛力和價(jià)值，同時(shí)不斷開放合作，輸出安全技術(shù)能力，幫助個(gè)人、企業(yè)、國(guó)家防御和消除各類安全隱患。