19-летний исследователь безопасности описывает, как он удаленно взломал более 25 электромобилей Tesla.

• 19-летний парень сказал, что смог взломать более 25 Tesla с помощью ошибки в популярном инструменте данных.
• Твит Дэвида Коломбо об этой проблеме стал вирусным, но он не стал раскрывать уязвимость, пока она не была устранена.
• Tesla и сторонний инструмент отправили обновления после того, как Коломбо связался с ними по поводу проблемы.

19-летний исследователь безопасности сказал, что ему удалось взломать более 25 электромобилей Tesla со всего мира.

В понедельник Дэвид Коломбо опубликовал сообщение в блоге, в котором объяснил, как ему удалось удаленно взломать автомобили с помощью ошибок безопасности в TeslaMate, популярном инструменте ведения журнала с открытым исходным кодом, который отслеживает все, от потребления энергии Tesla до истории местоположений.

Подросток из Динкельсбюля, Германия, впервые сообщил об уязвимости в Твиттере в начале января, но не стал подробно рассказывать о проблеме, пока ошибки не были исправлены.

— Дэвид Коломбо (@david_colombo_) 11 января 2022 г.

Коломбо сказал, что уязвимость позволила ему получить удаленный доступ к нескольким функциям Tesla, включая отпирание дверей и окон и запуск вождения без ключа. Подросток также сказал, что может включить стереосистему или посигналить, а также посмотреть, где находится машина и присутствует ли водитель. Однако он сказал, что не верит, что транспортное средство можно будет перемещать дистанционно.

«Не должно быть никакого способа, чтобы кто-то мог буквально подойти к некоторым Теслам, которые ему не принадлежат, и прокатиться на них», — сказал Коломбо в своем блоге на Medium. «Я также думаю, что это потенциально может привести к некоторым опасным ситуациям на дороге. Например, если кто-то с удаленным доступом начнет включать музыку на максимальной громкости, пока водитель находится на шоссе, или случайно и неконтролируемо дистанционно мигает фарами Tesla в ночь.»

Коломбо объяснил, что проблема безопасности связана с тем, как TeslaMate хранит конфиденциальную информацию, необходимую для связи программы с автомобилем. Исследователь кибербезопасности объяснил, что информация, включая API-ключ автомобиля, может быть переназначена для удаленной отправки команд незащищенным автомобилям Tesla и позволяет хакерам сохранять долгосрочный доступ к автомобилям без ведома водителя.

Коломбо сказал, что впервые узнал об уязвимости в одной Tesla в октябре и смог связаться с владельцем. В январе он обнаружил еще более 20 уязвимых автомобилей Tesla, но столкнулся с трудностями при попытке связаться с владельцами.

Пытаясь предупредить владельцев Tesla об этой проблеме, Коломбо также обнаружил недостаток в программном обеспечении автопроизводителя для цифрового ключа автомобиля, который позволил ему узнать адрес электронной почты владельца Tesla.

После частного сообщения о проблемах TeslaMate, а также команде безопасности Tesla, сторонний инструмент выдвинул исправление программного обеспечения, и команда безопасности Tesla отозвала все затронутые токены доступа, а также уведомила владельцев. TeslaMate и представитель Tesla не ответили на запрос Insider о комментариях, но TeslaMate сообщил TechCrunch, что компания выпустила обновление в течение нескольких часов после получения электронного письма Коломбо.

Немецкий исследователь безопасности не первый, кто взломал Tesla. В прошлом году два исследователя показали, как дрон может начать атаку через Wi-Fi и открыть двери Tesla. В 2020 году другому исследователю удалось взломать систему бесключевого доступа Tesla за 90 секунд, подменив сигнал.