导读 特斯拉车主使用的日志软件存在漏洞,再加上同一车主的一些糟糕的安全做法,使得网络安全研究人员能够完全控制超过 25 辆汽车。不需要恶意
特斯拉车主使用的日志软件存在漏洞,再加上同一车主的一些糟糕的安全做法,使得网络安全研究人员能够“完全控制”超过 25 辆汽车。不需要恶意软件,也没有防病毒软件能够检测到该问题。
在一篇博文中,德国研究员大卫科伦坡透露了该漏洞如何让他解锁门窗、禁用哨兵模式、按喇叭,甚至开始无钥匙驾驶。
该漏洞已被修补,是在名为 TeslaMate 的工具中发现的。这是一款免费的日志记录软件,特斯拉车主可以将其安装在他们的终端上,以获取能源消耗、能源历史记录或驾驶统计数据等数据。这是一个自托管的 Web 仪表板,需要访问 Tesla 的 API,这就是问题所在。
仪表板允许匿名访问,并带有许多用户没有更改的默认密码设置。通过仪表板提取特斯拉 API,科伦坡设法保持对车辆的访问权限,并获得对位置、最近驾驶路线或停车位置等数据的访问权限。
幸运的是,研究人员不相信车辆可以以这种方式移动,但是在高速公路上行驶时能够闪烁汽车的灯已经足够危险了。
研究人员称,虽然这并不是特斯拉方面的直接安全遗漏,但该公司可以采取一些措施来确保客户的安全,包括在更改密码时撤销 API,这是行业标准做法。
在发现问题后,科伦坡设法与 TeslaMate 的创建者取得了联系,并让他们发布了补丁。TeslaMate 项目维护者 Adrian Kumpf 在 接受TechCrunch采访时表示,该补丁是在收到 Colombo 的提示后“数小时内”构建的。
尽管如此,Kumpf 强调该软件是自托管的,无法防止用户意外将他们的系统暴露在互联网上。TeslaMate 带有警告,该软件应该安装在“你的家庭网络上,否则你的 Tesla API 令牌可能会面临风险”。