本月早些时候,德国安全研究员 David Colombo 在一条推文中,首次披露了影响特斯拉电动汽车的一个严重隐患。由于流行的第三方开源日志工具中的一个安全漏洞,车子竟然被直接暴露于互联网上。若被攻击者闯入,该漏洞或导致远程解锁车门、鸣喇叭、甚至启动汽车。
在一连串相关推文之后,David Colombo 于周一的一篇博客文章中,介绍了他是如何在偶然情况下发现该漏洞、并“完全远程控制”了超过 25 辆特斯拉电动汽车的。
庆幸的是,他一直在努力向受影响的车主披露这个问题、且没有向别有用心的黑客公开详细信息。目前漏洞已得到正式修复,无法再被公开利用。
David Colombo 在接受采访时称,他是在 TeslaMate 中发现的这个远程漏洞。作为一款免费的日志软件,许多特斯拉车主都用它来连接车载系统。
你可借此来轻松访问被默认隐藏的相关数据,包括电耗、位置历史记录、驾驶统计,以及用于故障排除和问题诊断的各种细粒度的信息。
作为一款“自托管”形式的网络仪表板,TeslaMate 通常在爱好者的家用电脑上运行,并依靠特斯拉 API 来访问与车主账户相关的车载数据。
然而由于网络仪表板中的一个安全漏洞 —— 比如允许匿名访问和使用一些用户从未修改过的默认密码、再加上车主的错误配置 —— 结果就导致至少数百个 TeslaMate 仪表板被直接暴露于互联网上。
本文内容不用于商业目的,如涉及知识产权问题,请权利人联系51Testing小编(021-64471599-8017),我们将立即处理
