19 yaşındaki Alman güvenlik araştırmacısı bir şekilde Dünyanın dört bir yanına yayılmış onlarca Tesla’ya uzaktan erişim sağlamayı başarması, bunu nasıl yaptığının da nabzını tuttu.
Bir Ortamda İleti, David Colombo, bir aracın stereo ses seviyesini ayarlamak, kapıları ve pencereleri manipüle etmek ve hatta Tesla’nın “Anahtarsız Sürüş” aracını kullanmak gibi) uzaktan komutları çalıştırabileceğini iddia ettiği önceki deneyinin derinlemesine bir muhasebesini ve zaman çizelgesini sağladı. hiç bilerek. Colombo, TeslaMate adlı açık kaynaklı bir kayıt aracındaki bir güvenlik açığı aracılığıyla araçlara erişim sağlayabildiğini açıkladı. Bu araç, Tesla sahiplerinin Tesla’nın API’sini kullanarak araçlarının enerji tüketimi ve konum geçmişi gibi daha ayrıntılı verileri izlemesine olanak tanır. Ancak Colombo, TeslaMate tarafından şifrelenmemiş olarak saklandığını söylediği bir avuç Tesla API Anahtarını kendi komutlarını çalıştırmak için yeniden kullanabildiğini söyledi.
Colombo, “Tesla sahibinin canını sıkan komutları çalıştırabilirsin” diye yazdı, “Ve hatta Tesla’yı bile çalabilirsin.” Yazı, Colombo’nun Tesla’nın güvenlik ekibine sunduğu resmi sorumlu açıklama raporunun bir parçasıydı.
Colombo, “25’ten fazla Tesla’yı bulduğunu söylüyor. [sic] saat içinde 13 ülkeden.” Tesla araçlarının bulunduğu ülkeler arasında “Almanya, Belçika, Finlandiya, Danimarka, Birleşik Krallık, ABD, Kanada, İtalya, İrlanda, Fransa, Avusturya ve İsviçre” yer alıyor. Çin’den 30+, ancak Çin’in siber güvenlik yasalarıyla gerçekten uğraşmak istemedim, bu yüzden onlara tamamen dokunmadan bıraktım.”
Colombo, Tesla daha sonra “binlerce anahtarı” iptal ettiğinden, sorunun araştırmasının ortaya çıkardığından çok daha yaygın olduğunu söyledi.
Colombo, otomobilin özelliklerini şok edici miktarda manipüle edebilmiş olsa da, otomobili uzaktan hareket ettirebileceğine veya direksiyon veya frenleri manipüle edebileceğine inanmıyor. Colombo, hem Tesla hem de TeslaMate’e ulaştığını ve düzeltmelerin yapıldığını söyledi.
Olayların zaman çizelgesinde araştırmacı, güvenlik açığını ilk kez Ekim 2021’de tek bir araçta fark ettiğini ve bu ayın başlarında 20 araçta daha keşfettiğini söyledi. Blog gönderisindeki resimler, etkilenen araçların birçoğunun sürüş geçmişini ürkütücü bir hassasiyetle belgeleyen ayrıntılı haritaları gösteriyor. Colombo ayrıca kendisi ve etkilenen Tesla sahiplerinden biri arasındaki kısa mesaj alışverişlerinin görüntülerini de içeriyordu. Bu durumda, sahibi Colombo’ya araba kornasını uzaktan çalıştırma izni verdi.
Colombo ayrıca, bu sefer Tesla’nın dijital araba anahtarında, sürücülerin e-posta adreslerini almasına izin veren ek bir kusur hakkında bazı ayrıntılar verdi. Colombo, daha önce etkilenen sürücüleri araçlarını etkileyen üçüncü taraf kusur konusunda uyarmak için ciddi bir çaba içinde, sürücülerin e-posta adreslerini sorgulamasına izin veren bir kusurla karşılaştığını söyledi. Colombo, özellikle etkilenen araçların sahiplerinin e-postalarını arıyor olsa da, yazılım kusuru, diğer Tesla sahipleriyle ilişkili e-postaları bulmak için potansiyel olarak kötüye kullanılabilir.
Colombo, “Öykünün başında, sahibi tanımlayıcı bilgileri bulmanın herhangi bir yolu yoktu ve şimdi e-posta adreslerini erişim iptal edilmiş olsa bile sorgulayabiliyorum” diye yazdı, “Biraz ironik!”
Colombo daha sonra bulgularını bir röportaj yapmak Bloomberg, kusurun Tesla’nın dijital araba anahtarı için bir API’de bulunduğunu söyledi. Araştırmacı, Tesla’nın güvenlik ekibini e-posta kusuru hakkında derhal bilgilendirdiğini ve sorunu çözmek için hızlı bir şekilde bir yama çıkardıklarını doğruladığını söyledi.
Colombo, “Birinin, sahip olmadığı bazı Tesla’lara kelimenin tam anlamıyla yürüyüp onları gezmeye götürmesinin hiçbir yolu olmamalı” diye yazdı.