自古黑客出少年 。

文章图片

从事网络安全研究的 19 岁德国男孩 David Colombo 最近有一个大发现 。
他在为一家法国公司进行安全审查时注意到 ， 该公司网络中的一个软件程序泄露了公司 CTO 所驾驶的特斯拉的所有数据 ， 包括这辆车的驾驶记录和当时的精确位置 。
但这还没完 ， 随着调查的深入 ， Colombo 意识到 ， 他可以向使用该程序的特斯拉推送指令 。 这就使得他能够劫持车上的一些功能 ， 包括打开和关闭车门 / 车窗、调高音乐、播放视频、开启无钥匙驾驶和禁用安全功能等 。 但是 ， 他无法控制汽车的转向、制动等操作 。

文章图片


文章图片


文章图片


文章图片


文章图片

Colombo 的发现在推特上引发了热烈讨论 。 在物联网设备无处不在的今天 ， 网络安全问题牵动着每一个人的神经 。
在 1 月 11 日发布的推特上 ， Colombo 表示 ， 他已经可以向 13 个国家的至少 25 辆汽车上推送指令 。 后续的分析表明 ， 这一数字可以扩大到数百辆 。
值得注意的是 ， 这些缺陷并不存在于特斯拉的汽车或特斯拉的网络上 ， 而是存在于一款可以收集和分析自己汽车数据的开源软件上 。

文章图片

在发现这些问题之后 ， Colombo 联系了特斯拉的安全团队 。 他向该团队提供了截图和其他文件 ， 详细解释了他的发现 ， 并确定了受影响的第三方软件的制造商 ， 但未向媒体公布细节 。 该团队随即开始了调查 。 美国国家公路交通安全管理局发言人也表示 ， 已就此事与特斯拉保持联系 ， 该机构的网络安全技术团队将协助评估和审查信息 。

文章图片

由于 Colombo 并没有提供该软件的详细信息 ， 所以推特用户正在做出自己的猜测 。 比如有很多人就将特斯拉数千个认证 token 过期的事情与该事件联系在一起 。

文章图片


文章图片


文章图片

但特斯拉解释说 ， Colombo 所报告的漏洞涉及另一个平台 。 由于该平台使用了 V2 Tesla token ， 而这些 token 都已经过期了 ， 所以没有 TezLab 用户因为 David 帖子中所说的漏洞而面临风险 。

文章图片

Teslascope 创始人 Tyler Corsair 也在推特上澄清道：「Colombo 提到的那些用户使用了一个名为 Teslamate 的开源项目 ， 然后错误地对其进行了配置（部分原因是开发人员设置了错误的默认配置） ， 因此任何人都可以远程访问它 。 」在接到报告之后 ， 他们已经推出了补丁 。