特斯拉上价值 10000 美元的 XSS 漏洞

文摘   2024-07-04 17:08   印度  

     我有幸尝试破解的有趣事物之一是特斯拉Model 3。它内置了网络浏览器,享有免费的高级LTE网络,并且支持OTA。这简直就是一个高速移动的联网计算机。

   年初,我买了一辆特斯拉Model 3,不仅开起来爽,折腾起来也挺有意思的。我在车库里捣鼓了半天,想让车干点它本不应该干的事,结果还真让我捣鼓出了点名堂。


April, 2019

   我首先花时间研究的是车辆的‘命名你的爱车’功能。这个功能允许你给你的车设置一个昵称,并且会将这个信息保存到你的账户上,这样每当你通过移动应用接收到推送通知时(比如充电完成),你都能看到这个昵称。”

    就是中间那个方块右上角的“给你的车起个名”按钮

    在中控屏右上角的‘命名你的爱车’按钮处,我最初给我的车命名为'%x.%x.%x.%x',想看看它是否像2011年的宝马330i那样容易受到格式化字符串攻击,但遗憾的是它并没有产生什么效果。

"So basically set your smartphone's name to %x%x%x%x and test for format string vulns in connected devices" — Eهاв Huسein (@__Obzy__)

    在花更多时间研究输入后,我发现输入允许的内容长度非常长。我决定给我的特斯拉命名为包含xss语句的名字,并继续在车上的其他功能上进行尝试。

    我这么起名是想,这个名字可能会在特斯拉的某个内部车辆管理网站上显示,或者在我的账户里的某个功能里。

    我还花了不少时间研究内置的网络浏览器。虽然没折腾出什么大动静,但尝试让它加载文件或奇怪的URI也挺有意思的。

    那天晚上没找到什么,我就放弃了,忘了我把车名设成了一个盲XSS。


June, 2019

   在一次自驾游中,一块大石头不知从哪儿飞来,把我的挡风玻璃砸裂了。

    我用特斯拉的应用支持功能预约了维修,然后继续开车。

    第二天,我收到了一条关于这个问题的短信,说有人在调查这件事。我查看了我的XSS hunter ,发现了一些非常有趣的东西。


Vulnerable Page URLhttps://redacted.teslamotors.com/redacted/5057517/redactedExecution Originhttps://redacted.teslamotors.comRefererhttps://redacted.teslamotors.com/redacted/5YJ31337

   回应我挡风玻璃破裂问题的一位客服,在“redacted.teslamotors.com”域的上下文中触发了我的XSS。

    XSS站点的截图显示,这个页面是用来查看车辆的重要统计数据的,通过URL中的车辆ID来访问。引用头里还有我车的VIN号码。

    XSS在特斯拉管理车辆的页面上触发了。

    截图里显示了我车的当前信息,比如速度、温度、版本号、轮胎压力、是否锁车、警报等等。

VIN: 5YJ3E13374KF2313373Car Type: 3 P74DBirthday: Mon Mar 11 16:31:37 2019Car Version: develop-2019.20.1-203-991337dCar Computer: iceSOE / USOE: 48.9, 48.9 %SOC: 54.2 %Ideal energy remaining: 37.2 kWhRange: 151.7 miOdometer: 4813.7 milesGear: DSpeed: 81 mphLocal Time: Wed Jun 19 15:09:06 2019UTC Offset: -21600Timezone: Mountain Daylight TimeBMS State: DRIVE12V Battery Voltage: 13.881 V12V Battery Current: 0.13 ALocked?: trueUI Mode: comfortLanguage: English
Service Alert: 0X0

此外,还有关于固件、CAN数据、地理围栏、配置和一些听起来很有意思的代号功能的标签。


    我试图访问"redacted.teslamotors.com"的URL,但超时了。这可能是个内部应用。

    有趣的是,在线客服可以向车辆发送更新,很可能还能修改车辆配置。我的猜测是,根据DOM中的不同超链接,这个应用程序具有这个功能。

    我没有尝试这个,但很可能通过改变ID,攻击者可以提取和修改有关其他汽车的信息。

 


   我写了份报告给特斯拉的漏洞赏金计划。他们把它定为P1级别,评论了一番,12小时内就推出了一个紧急修复。大约两周后,他们给了我1万美元的奖金,并确认了我的猜测,这是个严重的问题。



安全脉脉
我们致力于提高车联网安全的意识,推动行业发展,保护车辆和驾驶者免受潜在威胁的影响。在这里可以与车联网安全领域的专家和爱好者分享知识、深入思考、探讨标准法规、共享工具和讨论车联网热点事件。
 最新文章