TeslaMate漏洞允许数十辆特斯拉电动汽车被远程访问由于流行的第三方开源日志记录工具存在安全漏洞,该车直接暴露在互联网上。如果攻击者闯入,该漏洞可能允许远程解锁车门、按喇叭,甚至启动汽车。在一系列相关推文发布后的周一,大卫科伦坡在一篇博文中解释了他是如何偶然发现这个漏洞并“完全远程控制”超过25辆特斯拉电动汽车的。值得庆幸的是,他已经努力向受影响的车主披露问题,并没有向别有用心的黑客透露细节。该漏洞已被官方修复,无法再被公开利用。DavidColombo在接受采访时表示,他在TeslaMate中发现了这个远程漏洞。作为一款免费的日志软件,很多特斯拉车主都用它来连接汽车系统。您可以使用它轻松访问默认隐藏的相关数据,包括功耗、位置历史记录、行驶统计数据以及用于故障排除和问题诊断的各种细粒度信息。TeslaMate是一种“自托管”形式的网络仪表板,通常在爱好者的家用电脑上运行,并依靠TeslaAPI访问与车主账户相关的车辆数据。然而,由于Web仪表盘存在安全漏洞——例如允许匿名访问和使用一些用户从未修改过的默认密码,再加上车主的错误配置——导致至少数百个TeslaMate仪表盘被直接暴露。在互联网上。API暴露的风险还涉及特斯拉车辆的遥控钥匙。此外,科伦坡在接受外媒电话采访时表示,受影响的汽车数量可能更多。在去年偶然发现一个向公众公开的仪表板后,Colombo发现TeslaMate默认情况下没有应用保护。上网搜索后可知,受影响的车主遍布英国、美国、欧洲、中国、加拿大等市场,甚至扒出了一条最近有人经过的加州旅游线路。在更坏的情况下,攻击者会提取用户的API密钥,这样别有用心的人就可以在车主不知情的情况下,长期保持对特斯拉电动汽车的隐蔽访问。据悉,在私下报告漏洞后,TeslaMate已经推送了新版本的软件,但需要用户手动安装才能彻底封堵该漏洞的接入。值得庆幸的是,特斯拉已经撤销了数千个API密钥。另外,即使要真正利用这个漏洞,也需要相当高级和繁琐的操作。并且在很多情况下,无法准确地与车主取得联系。
