19岁黑客连续破解25辆特斯拉：远程控制门窗、灯光、音乐，还能直接开走

daisiesdontdoit

从事网络安全研究的 19 岁德国男孩 David Colombo 最近有一个大发现。他在为一家法国公司进行安全审查时注意到，该公司网络中的一个软件程序泄露了公司 CTO 所驾驶的特斯拉的所有数据，包括这辆车的驾驶记录和当时的精确位置。
但这还没完，随着调查的深入，Colombo 意识到，他可以向使用该程序的特斯拉推发送指令。这就使得他能够劫持车上的一些功能，包括打开和关闭车门 / 车窗、调高音乐、播放视频、开启无钥匙驾驶和禁用安全功能等。但是，他无法控制汽车的转向、制动等操作。









Colombo 的发现在推特上引发了热烈讨论。在物联网设备无处不在的今天，网络安全问题牵动着每一个人的神经。

在 1 月 11 日发布的推特上，Colombo 表示，他已经可以向 13 个国家的至少 25 辆汽车上推送指令。后续的分析表明，这一数字可以扩大到数百辆。
值得注意的是，这些缺陷并不存在于特斯拉的汽车或特斯拉的网络上，而是存在于一款可以收集和分析自己汽车数据的开源软件上。在发现这些问题之后，Colombo 联系了特斯拉的安全团队。他向该团队提供了截图和其他文件，详细解释了他的发现，并确定了受影响的第三方软件的制造商，但未向媒体公布细节。该团队随即开始了调查。美国国家公路交通安全管理局发言人也表示，已就此事与特斯拉保持联系，该机构的网络安全技术团队将协助评估和审查信息。

由于 Colombo 并没有提供该软件的详细信息，所以推特用户正在做出自己的猜测。比如有很多人就将特斯拉数千个认证 token 过期的事情与该事件联系在一起。但特斯拉解释说，Colombo 所报告的漏洞涉及另一个平台。由于该平台使用了 V2 Tesla token，而这些 token 都已经过期了，所以没有 TezLab 用户因为 David 帖子中所说的漏洞而面临风险。
Teslascope 创始人 Tyler Corsair 也在推特上澄清道：‘Colombo 提到的那些用户使用了一个名为 Teslamate 的开源项目，然后错误地对其进行了配置（部分原因是开发人员设置了错误的默认配置），因此任何人都可以远程访问它。’在接到报告之后，他们已经推出了补丁。


https://finance.sina.com.cn/tech/2022-01-15/doc-ikyamrmz5337569.shtml