本月早些時候,德國安全研究員 David Colombo 在一條推文中,首次披露了影響特斯拉電動汽車的一個嚴重隱患。由於流行的第三方開源日誌工具中的一個安全漏洞,車子竟然被直接暴露於互聯網上。若被攻擊者闖入,該漏洞或導致遠程解鎖車門、鳴喇叭、甚至啟動汽車。
在一連串相關推文之後,David Colombo 於周一的一篇博客文章中,介紹了他是如何在偶然情況下發現該漏洞、並“完全遠程控制”了超過 25 輛特斯拉電動汽車的。
慶幸的是,他一直在努力向受影響的車主披露這個問題、且沒有向別有用心的黑客公開詳細信息。目前漏洞已得到正式修復,無法再被公開利用。
David Colombo 在接受採訪時稱,他是在 TeslaMate 中發現的這個遠程漏洞。作為一款免費的日誌軟件,許多特斯拉車主都用它來連接車載系統。
你可藉此來輕鬆訪問被默認隱藏的相關數據,包括電耗、位置歷史記錄、駕駛統計,以及用於故障排除和問題診斷的各種細粒度的信息。
作為一款“自託管”形式的網絡儀錶板,TeslaMate 通常在愛好者的家用電腦上運行,並依靠特斯拉 API 來訪問與車主賬戶相關的車載數據。
然而由於網絡儀錶板中的一個安全漏洞 —— 比如允許匿名訪問和使用一些用戶從未修改過的默認密碼、再加上車主的錯誤配置 —— 結果就導致至少數百個 TeslaMate 儀錶板被直接暴露於互聯網上。
API 暴露的風險,還涉及遠程控制特斯拉汽車的密鑰。此外 Colombo 在接受外媒電話採訪時稱,受影響的汽車數量可能更高。
從去年偶然發現暴露在公網上的儀錶板之後,Colombo 發現 TeslaMate 沒有在默認情況下施加防護。
在網絡上展開一番搜索后,可知受影響的車主遍布英美、歐洲、中國、加拿大等市場,甚至扒出了某人近期穿越過的一條加州旅行路線。
更糟糕的情況,就是被攻擊者提取了用戶的 API 密鑰,那樣別有用心者就可在車主不知情的情況下,保持對特斯拉電動汽車的長期隱匿訪問。
據悉,在私下通報了漏洞后,TeslaMate 已推送了新版軟件,但需用戶手動安裝才能徹底封堵訪問漏洞。
萬幸的是,特斯拉已經撤銷了數千個 API 密鑰。此外即使想要切實利用該漏洞,仍需要相當高深且繁瑣的操作。且在許多情況下,都無法準確地與車主取得聯繫。