社区编辑申请
注册/登录
TeslaMate漏洞致数十辆特斯拉电动汽车可被远程访问
安全 漏洞
本月早些时候,德国安全研究员 David Colombo 在一条推文中,首次披露了影响特斯拉电动汽车的一个严重隐患。

本月早些时候,德国安全研究员 David Colombo 在一条推文中,首次披露了影响特斯拉电动汽车的一个严重隐患。由于流行的第三方开源日志工具中的一个安全漏洞,车子竟然被直接暴露于互联网上。若被攻击者闯入,该漏洞或导致远程解锁车门、鸣喇叭、甚至启动汽车。

在一连串相关推文之后,David Colombo 于周一的一篇博客文章中,介绍了他是如何在偶然情况下发现该漏洞、并“完全远程控制”了超过 25 辆特斯拉电动汽车的。

庆幸的是,他一直在努力向受影响的车主披露这个问题、且没有向别有用心的黑客公开详细信息。目前漏洞已得到正式修复,无法再被公开利用。

David Colombo 在接受采访时称,他是在 TeslaMate 中发现的这个远程漏洞。作为一款免费的日志软件,许多特斯拉车主都用它来连接车载系统。

你可借此来轻松访问被默认隐藏的相关数据,包括电耗、位置历史记录、驾驶统计,以及用于故障排除和问题诊断的各种细粒度的信息。

作为一款“自托管”形式的网络仪表板,TeslaMate 通常在爱好者的家用电脑上运行,并依靠特斯拉 API 来访问与车主账户相关的车载数据。

然而由于网络仪表板中的一个安全漏洞 —— 比如允许匿名访问和使用一些用户从未修改过的默认密码、再加上车主的错误配置 —— 结果就导致至少数百个 TeslaMate 仪表板被直接暴露于互联网上。

API 暴露的风险,还涉及远程控制特斯拉汽车的密钥。此外 Colombo 在接受外媒电话采访时称,受影响的汽车数量可能更高。

从去年偶然发现暴露在公网上的仪表板之后,Colombo 发现 TeslaMate 没有在默认情况下施加防护。

在网络上展开一番搜索后,可知受影响的车主遍布英美、欧洲、中国、加拿大等市场,甚至扒出了某人近期穿越过的一条加州旅行路线。

更糟糕的情况,就是被攻击者提取了用户的 API 密钥,那样别有用心者就可在车主不知情的情况下,保持对特斯拉电动汽车的长期隐匿访问。

据悉,在私下通报了漏洞后,TeslaMate 已推送了新版软件,但需用户手动安装才能彻底封堵访问漏洞。

万幸的是,特斯拉已经撤销了数千个 API 密钥。此外即使想要切实利用该漏洞,仍需要相当高深且繁琐的操作。且在许多情况下,都无法准确地与车主取得联系。

责任编辑:赵宁宁 来源: 今日头条
相关推荐

2022-05-16 13:37:12

Sysrv僵尸网络微软

2022-05-17 14:03:42

勒索软件远程工作

2022-05-10 14:11:05

网络安全网络犯罪

2022-05-16 15:35:00

漏洞黑客

2022-04-20 22:04:58

物联网安全勒索软件网络攻击

2022-05-25 16:52:55

数据智能瑞数信息API

2022-05-07 15:31:19

物联网5G智慧城市

2022-05-26 11:37:58

亚马逊云科技C7g实例

2022-05-11 15:08:52

驱动开发系统移植

2022-05-08 20:48:34

Exchange版本漏洞

2022-05-24 21:29:30

2022-05-16 08:33:54

漏洞微软安全补丁

2022-05-25 10:04:43

Go编程

2022-04-25 14:06:28

数据分析人工智能机器学习

2022-05-17 10:33:58

设备开发鸿蒙操作系统

2022-05-23 09:18:55

RocketMQ存储中间件

2022-05-16 13:34:35

漏洞SonicWall攻击者

2022-05-24 15:55:37

避障小车华为

2022-05-19 19:26:33

区块链大数据数据分析

2022-05-24 12:05:36

Testin云测试

同话题下的热门内容

影响Angular和React应用的常见六大漏洞PoC代码已公布,这个 VMware auth 高危漏洞需尽快修补Google发出提醒:Android用户警惕间谍软件利用零日漏洞进行监控谷歌:Predator间谍软件使用零日漏洞感染Android设备从微补丁应用看漏洞修复技术的发展与挑战OAS 平台受关键 RCE 和 API 访问漏洞的影响

编辑推荐

Log4j史诗级漏洞,从原理到实战,只用3个实例就搞明白!漏洞情报 | Spring RCE 0day高危漏洞预警Kubernetes的严重漏洞将所有服务器暴露在DoS攻击面前!Tomcat爆出安全漏洞!Spring Cloud/Boot框架多个版本受影响二维码新漏洞出现,遇到此类二维码小心中招
我收藏的内容
点赞
收藏

51CTO技术栈公众号