,,

TeslaMate漏洞致數十輛特斯拉電動汽車可被遠程訪問

2022-01-25 13:34:03 來源：cnBeta.COM

本月早些時候，德國安全研究員 David Colombo 在一條推文中，首次披露了影響特斯拉電動汽車的一個嚴重隱患。由于流行的第三方開源日志工具中的一個安全漏洞，車子竟然被直接暴露于互聯網上。若被攻擊者闖入，該漏洞或導致遠程解鎖車門、鳴喇叭、甚至啟動汽車。

訪問：

微軟Surface精選機型特惠6.3折起翻新機滿100減100

在一連串相關推文之后，David Colombo 于周一的一篇博客文章中，介紹了他是如何在偶然情況下發現該漏洞、并“完全遠程控制”了超過 25 輛特斯拉電動汽車的。

慶幸的是，他一直在努力向受影響的車主披露這個問題、且沒有向別有用心的黑客公開詳細信息。目前漏洞已得到正式修復，無法再被公開利用。

David Colombo 在接受采訪時稱，他是在 TeslaMate 中發現的這個遠程漏洞。作為一款免費的日志軟件，許多特斯拉車主都用它來連接車載系統。

你可借此來輕松訪問被默認隱藏的相關數據，包括電耗、位置歷史記錄、駕駛統計，以及用于故障排除和問題診斷的各種細粒度的信息。

作為一款“自托管”形式的網絡儀表板，TeslaMate 通常在愛好者的家用電腦上運行，并依靠特斯拉 API 來訪問與車主賬戶相關的車載數據。

然而由于網絡儀表板中的一個安全漏洞 —— 比如允許匿名訪問和使用一些用戶從未修改過的默認密碼、再加上車主的錯誤配置 —— 結果就導致至少數百個 TeslaMate 儀表板被直接暴露于互聯網上。

API 暴露的風險，還涉及遠程控制特斯拉汽車的密鑰。此外 Colombo 在接受外媒電話采訪時稱，受影響的汽車數量可能更高。

從去年偶然發現暴露在公網上的儀表板之后，Colombo 發現 TeslaMate 沒有在默認情況下施加防護。

在網絡上展開一番搜索后，可知受影響的車主遍布英美、歐洲、中國、加拿大等市場，甚至扒出了某人近期穿越過的一條加州旅行路線。

更糟糕的情況，就是被攻擊者提取了用戶的 API 密鑰，那樣別有用心者就可在車主不知情的情況下，保持對特斯拉電動汽車的長期隱匿訪問。

據悉，在私下通報了漏洞后，TeslaMate 已推送了新版軟件，但需用戶手動安裝才能徹底封堵訪問漏洞。

萬幸的是，特斯拉已經撤銷了數千個 API 密鑰。此外即使想要切實利用該漏洞，仍需要相當高深且繁瑣的操作。且在許多情況下，都無法準確地與車主取得聯系。

關閉