GRCC IoVSecurity 今天
手机阅读
一名安全研究人员称赞电动跑车制造商特斯拉对他发现的基于Web的拒绝服务(DoS)攻击的迅速反应。
Jacob Archuleta'Nullze'在研究了Tesla Model 3的网络界面后发现了DoS漏洞(CVE-2020-10558)。
经过一些错误的尝试,他发现攻击者诱使驱动程序访问特制网页后,有可能使基于Chromium的界面崩溃。
不正确的流程分离使恶意网页有可能在Tesla 3的主屏幕上禁用速度计,Web浏览器,气候控制,转向信号,导航,自动驾驶仪通知以及其他功能。
受先前研究驱动
攻击途径受到Flouroacetate团队的启发,该团队二人在去年的Pwn2Own竞赛中发现了Tesla Model 3浏览器中的即时(JIT)错误。
理查德·朱(Richard Zhu)和阿马特·卡玛(Amat Cama)利用此漏洞在Tesla 3的信息娱乐系统上显示了自己的消息,而阿库莱塔的黑客彻底破坏了界面。
两次黑客攻击均不构成人身安全风险。例如,由Archuleta发现的漏洞不会抑制驾驶员手动接管系统的能力
自动更新
在通过Bugcrowd托管的特斯拉漏洞悬赏计划报告了DoS漏洞之后,Arculeta与汽车制造商的安全团队合作,以解决此问题。
特斯拉Model 3车辆的驾驶界面中的安全漏洞已在软件版本2020.4.10及更高版本中得到解决。
《The Daily Swig 》媒体知道此更新是自动应用的,但是特斯拉尚未响应确认这一点的请求。
Archuleta整理了自己的黑客记录,并附有演示视频。
在回答《The Daily Swig 》媒体的问题时,研究人员说他正在探索汽车黑客领域。
“我通过Bugcrowd从特斯拉那里赚了一些钱,”阿库莱塔解释说。“我正在尝试对此进行更多了解,但现在我不会认为自己是该领域的专家。”
他补充说:“在@samykamkar的[Samy Kamkar]的启发下,我还利用HackRF对攻击进行了一些RF研究,”
摘自:《The Daily Swig 》媒体
24 March 2020 at 08:07 UTC
