白帽黑客一度能控制所有特斯拉汽车-冯金伟博客园

  白帽子黑客 Jason Hughes 曾经利用服务器端的漏洞能控制所有特斯拉的汽车。

  2017 年的 Jason Hughes 在特斯拉社区已小有名气,他利用自己掌握的知识和经验寻找特斯拉软件的漏洞,将发现的漏洞报告给公司。

  在特斯拉允许客户访问有关超级充电站的更多数据后,Hughes 对此展开了调查,在服务器端发现了一个漏洞允许他每隔几分钟从世界各地的超级充电站获取数据。

  他将结果发在特斯拉汽车俱乐部论坛上,20 分钟后他收到了特斯拉公司负责软件安全的高管的电话,表示希望他以后发现漏洞不要先公开而是通知他们。他随后就开始了白帽子黑客的生涯,在特斯拉的软件和服务器上继续寻找漏洞,获取小笔赏金。他最大的发现是利用一组漏洞成功访问特斯拉网络中的服务器镜像库,其中之一是 Mothership。

  Mothership 是特斯拉用于与客户汽车通信的主服务器名字。任何特斯拉汽车的远程指令或诊断信息都会经过 Mothership。他在 Mothership 中发现了漏洞允许他以任何特斯拉车主的身份给汽车发送指令。

  当时特斯拉汽车的远程控制功能还比较有限,Hughes 并不能操纵汽车开到任何地方,但可以使用召唤功能召唤它们。这些漏洞让他获得了 5 万美元的赏金。