本月稍早,法国安全性研究者 David Colombo 在一条推原文中,初次公布了危害特斯拉电动汽车的一个比较严重安全隐患。因为时兴的第三方开源系统日志专用工具中的一个安全性漏洞,车辆居然被立即裸露于互联网技术上。若被网络攻击闯进,该漏洞或造成远程控制开启汽车车门、鸣音响喇叭、乃至运行汽车。
在一连串有关文章以后,David Colombo 于周一的一篇文章中,详细介绍了他是怎样在不经意状况下发觉该漏洞、并“彻底远程操作”了超出 25 辆特斯拉电动汽车的。
幸运的是,他一直在勤奋向受影响的车主公布这个问题、且沒有向居心叵测的网络黑客公布详细资料。现阶段漏洞已获得真正修补,没法再被公布运用。
David Colombo 在接收访谈还称,他是在 TeslaMate 中发觉的这一远程控制漏洞。做为一款完全免费的日志手机软件,很多特斯拉汽车车主都用它来联接车载智能系统。
你可以借此机会来轻轻松松浏览被默认设置掩藏的有关数据信息,包含能耗、部位历史数据、安全驾驶统计分析,及其用以常见故障解决和问题确诊的各种各样粗粒度的信息内容。
做为一款“自代管”方式的互联网仪表板,TeslaMate 通常在发烧友的家用台式电脑上运作,并借助特斯拉汽车 API 来浏览与车主帐户有关的车载式数据信息。
殊不知因为互联网仪表板中的一个安全性漏洞 —— 例如容许密名浏览和应用一些客户从没改动过的默认设置登陆密码、再再加上车主的不正确配备 —— 結果就造成最少数千 TeslaMate 仪表板被立即裸露于互联网技术上。
API 曝露的风险性,还涉及到远程操作特斯拉汽车汽车的密匙。除此之外 Colombo 在接纳外国媒体电话采访还称,受影响的汽车总数很有可能更高一些。
从上年偶然发现曝露在公线上的仪表板以后,Colombo 发觉 TeslaMate 沒有在默认设置状况下增加安全防护。
在互联网上进行一番检索后,得知受影响的车主遍及美国英国、欧洲地区、我国、澳大利亚等销售市场,乃至曝出了别人最近穿越重生过的一条美国加州的旅行路线。
更糟心的状况,便是被网络攻击获取了使用者的 API 密匙,那般居心叵测者就可在车主不知道的情形下,维持对特斯拉电动汽车的长期性掩藏浏览。
据了解,在私底下通告了漏洞后,TeslaMate 已消息推送了新版本手机软件,但需客户手动式安裝才可以完全堵漏浏览漏洞。
万幸的是,特斯拉汽车早已撤消了数千个 API 密匙。除此之外即使要想进一步运用该漏洞,仍必须非常深奥且繁杂的实际操作。且在很多情形下,都不能确切地与车主建立联系。