通过Web攻击接管特斯拉汽车仪表盘
2020-03-24 18:44:50 Author: www.aqniu.com(查看原文) 阅读量:256 收藏

通过Web攻击接管特斯拉汽车仪表盘

星期二, 三月 24, 2020

在自动驾驶系统遭到美国国家运输安全委员会批评后,特斯拉当红车型Model3又被安全人士找到漏洞。近日一名安全研究人员”Nullze”利用他发现的DoS漏洞弄瘫了特斯拉Model3汽车的中控仪表显示屏。

“Nullze”在调查了Tesla Model3的Web界面后发现了DoS漏洞(CVE-2020-10558)。

经过一系列的试错尝试,他发现通过诱使车主访问一个特殊设计的网页可以让运行Chromium的中控仪表盘系统界面崩溃。

此外,攻击者还可以通过恶意网页在Model3的主屏幕上禁用速度计、Web浏览器、气候控制、转向信号、导航、自动驾驶仪通知和其他功能。

截至发稿特斯拉已经快速响应并修复该漏洞,而且Nullze也第一时间拿到了特斯拉的漏洞赏金。

该攻击的途径基于二人研究组Team Flouroacetate去年在Pwn2Own竞赛上在Model3的浏览器中发现的一个JIT漏洞。

理查德·朱(Richard Zhu)和阿马特·卡玛(Amat Cama)利用此漏洞在Model3的信息娱乐系统上显示了自己的消息,而Nullze更进一步,能够彻毁掉界面。

这两次黑客攻击均不构成人身安全风险。例如,Nullze发现的漏洞利用并没有抑制驾驶员手动接管系统的能力。

参考资料

特斯拉仪表盘web漏洞利用演示视频:

https://safekeepsecurity.com/about/cve-2020-10558/

相关阅读

特斯拉、波音、SpaceX供应商遭勒索软件攻击

Pwn2Own落幕:特斯拉、虚拟机、浏览器告破 2名黑客卷走37.5万美金


文章来源: https://www.aqniu.com/threat-alert/65930.html
如有侵权请联系:admin#unsafe.sh