特斯拉汽车通过零点击漏洞攻击远程从无人机攻击

2021-05-05 20:56:22

两位研究人员已经表明了一个特斯拉 - 以及可能的其他车 - 可以远程被攻击,没有任何用户的互动。他们从寄生虫中进行了攻击。

这是去年通过Ralf-Philipp Weinmann of Kunnamon和Comsecuris的Benedikt Schmotzle进行的研究结果。最初对PWN2行2020的黑客竞争进行了分析 - 比赛提供了一种汽车和其他重要奖项来攻击特斯拉 - 但在PWN2OWN组织者决定暂时消除汽车类别后,调查结果次数通过其BUG赏金计划报告到特斯拉。由于冠状病毒大流行。

攻击被称为TBONE,涉及利用影响康曼的两种漏洞,嵌入式设备的Internet Connection Manager。攻击者可以利用这些缺陷来完全控制Tesla的信息娱乐系统,而无需任何用户的交互。

利用漏洞的黑客可以执行常规用户可以从信息娱乐系统执行任何任务。这包括打开门,改变座椅位置,播放音乐,控制空调,并改变转向和加速度模式。然而,研究人员解释说:“这种攻击不会产生汽车的驱动控制。”

他们展示了攻击者如何通过Wi-Fi使用无人机来启动攻击,以破坏停放的汽车,从距离高达100米(大约300英尺)的距离打开门。他们声称利用对抗Tesla S,3,X和Y模型。

“将PVE-2021-3347添加到TBONE等特权升级漏洞将使我们能够在TESLA汽车中加载新的Wi-Fi固件,将其转换为可用于利用其他地带进入受害者的特斯拉汽车的接入点汽车的靠近。然而,我们不想武器武装这一漏洞进入蠕虫,“Weinmann说。

Tesla修补了漏洞,在2020年10月推出的更新,据说已经使用康涅士曼停止了。英特尔也被告知,自公司是康曼的原始开发商,但研究人员表示,芯片制造者认为这不是它的责任。

研究人员了解到,Connman组件广泛用于汽车行业,这可能意味着可以对其他车辆发起类似的攻击。 Weinmann和Schmotzle转向德国的国家证书,以获取有助于通知潜在影响的供应商,但目前尚不清楚其他制造商是否已采取行动以回应研究人员的调查结果。 研究人员今年早些时候在Cansecwest会议上描述了他们的调查结果。 该演示还包括使用无人机攻击Tesla的视频。 在过去几年中,来自几家公司的网络安全研究人员已经证明了特斯拉可以在许多情况下被攻击。