TeslaMate漏洞致数十辆特斯拉电动汽车可被远程访问

安全 漏洞
本月早些时候,德国安全研究员 David Colombo 在一条推文中,首次披露了影响特斯拉电动汽车的一个严重隐患。

本月早些时候,德国安全研究员 David Colombo 在一条推文中,首次披露了影响特斯拉电动汽车的一个严重隐患。由于流行的第三方开源日志工具中的一个安全漏洞,车子竟然被直接暴露于互联网上。若被攻击者闯入,该漏洞或导致远程解锁车门、鸣喇叭、甚至启动汽车。

在一连串相关推文之后,David Colombo 于周一的一篇博客文章中,介绍了他是如何在偶然情况下发现该漏洞、并“完全远程控制”了超过 25 辆特斯拉电动汽车的。

庆幸的是,他一直在努力向受影响的车主披露这个问题、且没有向别有用心的黑客公开详细信息。目前漏洞已得到正式修复,无法再被公开利用。

David Colombo 在接受采访时称,他是在 TeslaMate 中发现的这个远程漏洞。作为一款免费的日志软件,许多特斯拉车主都用它来连接车载系统。

你可借此来轻松访问被默认隐藏的相关数据,包括电耗、位置历史记录、驾驶统计,以及用于故障排除和问题诊断的各种细粒度的信息。

作为一款“自托管”形式的网络仪表板,TeslaMate 通常在爱好者的家用电脑上运行,并依靠特斯拉 API 来访问与车主账户相关的车载数据。

然而由于网络仪表板中的一个安全漏洞 —— 比如允许匿名访问和使用一些用户从未修改过的默认密码、再加上车主的错误配置 —— 结果就导致至少数百个 TeslaMate 仪表板被直接暴露于互联网上。

API 暴露的风险,还涉及远程控制特斯拉汽车的密钥。此外 Colombo 在接受外媒电话采访时称,受影响的汽车数量可能更高。

从去年偶然发现暴露在公网上的仪表板之后,Colombo 发现 TeslaMate 没有在默认情况下施加防护。

在网络上展开一番搜索后,可知受影响的车主遍布英美、欧洲、中国、加拿大等市场,甚至扒出了某人近期穿越过的一条加州旅行路线。

更糟糕的情况,就是被攻击者提取了用户的 API 密钥,那样别有用心者就可在车主不知情的情况下,保持对特斯拉电动汽车的长期隐匿访问。

据悉,在私下通报了漏洞后,TeslaMate 已推送了新版软件,但需用户手动安装才能彻底封堵访问漏洞。

万幸的是,特斯拉已经撤销了数千个 API 密钥。此外即使想要切实利用该漏洞,仍需要相当高深且繁琐的操作。且在许多情况下,都无法准确地与车主取得联系。

责任编辑:赵宁宁 来源: 今日头条
相关推荐

2022-01-13 10:05:05

黑客特斯拉软件漏洞

2022-12-27 17:57:03

开源汽车充电

2023-06-12 10:21:50

物联网IoT

2023-03-07 15:43:02

2023-09-20 14:38:53

智能汽车

2024-03-01 15:23:48

2022-03-17 10:09:41

区块链电动汽车技术

2023-03-30 12:37:19

2023-09-15 10:55:54

电动汽车

2024-04-11 10:15:00

智能汽车

2024-03-26 15:31:11

人工智能电动汽车

2024-03-28 07:00:00

AI人形机器人

2020-07-02 14:01:11

5G智慧城市网络

2020-02-25 20:37:58

人工智能机器学习技术

2024-02-20 14:36:45

2023-09-27 16:37:27

2023-09-21 15:57:20

电动汽车

2021-12-06 12:06:59

苹果汽车技术

2023-03-27 22:16:03

点赞
收藏

51CTO技术栈公众号