以下轉自科恩實驗室發布的原文：

繼 2016 年利用特斯拉多個高危安全漏洞實現對特斯拉的無物理接觸遠程攻擊，騰訊科恩實驗室 2017 年再次發現多個高危安全漏洞并實現了對特斯拉的無物理接觸遠程攻擊，能夠在駐車模式和行駛模式下對特斯拉進行任意遠程操控。

2017 年的特斯拉研究，有幾大技術亮點。第一，實現了和 2016 年一樣的完整攻擊效果，最終入侵特斯拉車電網絡實現任意遠程操控。第二，本次研究中在特斯拉多個模塊發現 0Day ，目前科恩實驗室正在和特斯拉及相關廠商協商漏洞的國際 CVE 編號。第三，特斯拉為了提升車輛安全性，在 2016 年 9 月增加了“代碼簽名”安全機制，對所有 FOTA 升級固件進行強制完整性校驗，本次研究突破了該“代碼簽名”機制。第四，本次研究展示中的“特斯拉燈光秀”效果，涉及對特斯拉多個 ECU 的遠程協同操控，體現了科恩實驗室對車電網絡中各 ECU 模塊的安全研究能力。

2017 年 6 月底，科恩實驗室已經按照“負責任的漏洞披露”流程，將本輪研究中發現的所有安全漏洞技術細節報告給特斯拉美國產品安全團隊。特斯拉產品安全團隊快速確認了漏洞有效性和危害，并于 7 月初進行了快速修復并通過 FOTA 推送了升級系統固件。本次研究中發現的問題影響特斯拉多款已售和在售車型，根據特斯拉安全團隊的報告，目前全球范圍內絕大部分特斯拉車輛已經通過 FOTA 成功升級系統固件，確保了特斯拉用戶的行車安全。我們再次感謝特斯拉安全團隊的快速響應和快速修復。

科恩實驗室提醒特斯拉車主，請確認您的愛車已經升級到 8.1 (17.26.0) 或以上版本。如果現有版本低于該版本，請盡快升級，確保安全漏洞得到及時修復，避免行車安全問題。

本次研究可以實現的無物理接觸遠程控制效果，請參考以下視頻。科恩實驗室提醒，本視頻中展示的實驗結果為專業研究行為，請勿模仿。

最后轉一份科恩實驗室總監呂一平的看法，來源：36 氪。

我們必須給特斯拉一個比較客觀的評價，雖然我們遠程攻破了特斯拉，但是根據我們對特斯拉的研究，特斯拉目前在車企里面，在信息安全技術、包括人力上的投入可能是全球汽車行業里面最多的一個。他們目前已經在汽車上實現了一些安全防護的技術，也是全球領先的。

從國內 OEM 的角度來看，我們現在看到一個最大的問題是什么，他們在信息安全知識、能力和經驗方面的積累都很弱。我們其實做了很多的用戶教育工作，和行業教育工作，我們要告訴他們，在去年我們破解特斯拉之前，這個教育工作很難做，大家都覺得說問題會發生嗎？你們說的威脅能實現嗎？但是，去年我們做了特斯拉的研究以后，我們展示的視頻可以做遠程剎車，遠程控制汽車的時候大家才意識到原來這件事情是可以做到的。

所以說，我覺得這個用戶教育工作已經花了很多力氣了。而且你會看到我們在跟很多車企交流的時候，大家對信息安全的理解，到底要怎么去投資在信息安全領域，去加強我的能力，去建立我的信息安全體系——特斯拉這方面的經驗和知識都明顯不足，所以說，我覺得在信息安全能力補齊這個方面還是要做特別多的工作。

第二，傳統車企對供應商體系的依賴度非常高。有很多信息安全的問題其實都涉及到汽車的供應商體系的模塊。對于車企來講，怎么更好管理他的供應商，能夠提供更安全的、更可靠的模塊，這個是國內 OEM 廠商需要去關注和做好的點。

第三，多、透明。大家講汽車（信息安全）研究很貴，那是不是能夠更開放一點，引入專業的信息安全團隊和公司來做合作，能夠提供目標車輛讓大家做分析和研究，然后幫助發現更多安全問題，這個也希望是國內車廠做得更好的，能夠更開放一點。