欢迎光临第五届中国汽车网络信息安全峰会2020!

基于Web的攻击使Tesla驱动程序界面崩溃

发布日期:2020-04-20

GRCC IoVSecurity 今天 

手机阅读


点击上方蓝色字体,关注我们




DoS漏洞对Tesla HUD造成严重破坏





一名安全研究人员称赞电动跑车制造商特斯拉对他发现的基于Web的拒绝服务(DoS)攻击的迅速反应。


Jacob Archuleta'Nullze'在研究了Tesla Model 3的网络界面后发现了DoS漏洞(CVE-2020-10558)。


经过一些错误的尝试,他发现攻击者诱使驱动程序访问特制网页后,有可能使基于Chromium的界面崩溃。


不正确的流程分离使恶意网页有可能在Tesla 3的主屏幕上禁用速度计,Web浏览器,气候控制,转向信号,导航,自动驾驶仪通知以及其他功能。


受先前研究驱动


攻击途径受到Flouroacetate团队的启发,该团队二人在去年的Pwn2Own竞赛中发现了Tesla Model 3浏览器中的即时(JIT)错误。


理查德·朱(Richard Zhu)和阿马特·卡玛(Amat Cama)利用此漏洞在Tesla 3的信息娱乐系统上显示了自己的消息,而阿库莱塔的黑客彻底破坏了界面。


两次黑客攻击均不构成人身安全风险。例如,由Archuleta发现的漏洞不会抑制驾驶员手动接管系统的能力


自动更新


在通过Bugcrowd托管的特斯拉漏洞悬赏计划报告了DoS漏洞之后,Arculeta与汽车制造商的安全团队合作,以解决此问题。


特斯拉Model 3车辆的驾驶界面中的安全漏洞已在软件版本2020.4.10及更高版本中得到解决。


《The Daily Swig 》媒体知道此更新是自动应用的,但是特斯拉尚未响应确认这一点的请求。


Archuleta整理了自己的黑客记录,并附有演示视频。


在回答《The Daily Swig 》媒体的问题时,研究人员说他正在探索汽车黑客领域。


“我通过Bugcrowd从特斯拉那里赚了一些钱,”阿库莱塔解释说。“我正在尝试对此进行更多了解,但现在我不会认为自己是该领域的专家。”


他补充说:“在@samykamkar的[Samy Kamkar]的启发下,我还利用HackRF对攻击进行了一些RF研究,”



摘自:《The Daily Swig 》媒体

 24 March 2020 at 08:07 UTC



相关文章

或遭非法入侵 雷克萨斯/丰田存安全漏洞
导航智能网联和自动驾驶汽车的网络安全景观
车辆安全:从劫车到骇客Windows被指现史诗级漏洞 涉及Win 10多个版本


 

长按二维码识别关注



  • 电话咨询
  • 15021948198
  • 021-22306692
None