Güvenlik araştırmacısı Tesla sahipleri arasında popüler olan açık kaynaklı bir kayıt aracında bulunan güvenlik hataları arabalarını doğrudan internete maruz bıraktığı için dünya çapında düzinelerce Tesla’ya uzaktan erişebildiğini söyledi.
Güvenlik açığıyla ilgili haberler ilk olarak bu ayın başlarında ortaya çıktı bir tweette 25’ten fazla Tesla’nın “tam uzaktan kontrolüne” sahip olduğunu söyleyen, ancak ayrıntıları kamuya açıklamadan ve kötü niyetli bilgisayar korsanlarını uyarmadan sorunu etkilenen Tesla sahiplerine açıklamak için mücadele eden Almanya’daki bir güvenlik araştırmacısı David Colombo tarafından.
Hata düzeltildi, Colombo onayladı. TechCrunch bu hikayeyi, güvenlik açığından artık yararlanılamaz hale gelene kadar sürdürdü. Colombo bulgularını yayınladı bir blog yazısı.
Colombo, TechCrunch’a güvenlik açıklarının TeslaMate’te bulunduğunu söyledi. ücretsiz indirilebilir kayıt yazılımı Tesla sahipleri tarafından araçlarına bağlanmak ve araçlarının aksi halde gizli olan verilerine (arabalarının enerji tüketimi, konum geçmişi, sürüş istatistikleri ve sorun giderme ve tanılama için diğer ayrıntılı veriler) erişmek için kullanılır. TeslaMate, genellikle Tesla meraklılarının ev bilgisayarlarında çalışan, kendi kendine barındırılan bir web panosudur ve araç sahibinin hesabına bağlı olan araçlarının verilerine erişmek için Tesla’nın API’sine erişime dayanır.
Ancak web panosundaki güvenlik kusurları – anonim erişime izin vermek ve bazı kullanıcıların asla değiştirmediği varsayılan şifreleri kullanmak gibi – bazı Tesla sahipleri tarafından yapılan yanlış yapılandırmalarla birleştiğinde, araç sahibinin API anahtarı da dahil olmak üzere en az yüz TeslaMate panosunun doğrudan internete maruz kalmasına neden oldu. Tesla’larını uzaktan kontrol etmek için kullanılır.
TechCrunch ile yaptığı bir görüşmede Colombo, etkilenen Teslas sayısının muhtemelen daha yüksek olduğunu söyledi.
Maruz kalan TeslaMate gösterge tablolarından biri, bir Tesla’nın Kaliforniya’daki son seyahat rotalarını gösterdi. TeslaMate o zamandan beri güvenlik açıklarını düzeltti ve Tesla binlerce API anahtarını iptal etti. Resim: David Colombo (ürünle verilir)
Colombo, geçen yıl açıkta kalan bir panoya rastladıktan sonra TeslaMate panolarının varsayılan olarak korumasız olduğunu keşfettiğini söyledi. Daha fazla açık gösterge panosu için interneti taradıktan sonra, Birleşik Krallık, Avrupa, Kanada, Çin ve Amerika Birleşik Devletleri’nde Tesla’ların maruz kaldığını gördü.
Ancak Colombo, açıkta kalan panoları olan bireysel Tesla sahipleriyle iletişim kurmanın zorlu bir görev olacağını ve çoğu durumda, etkilenen Tesla müşterileriyle iletişim kurmanın bir yolunu doğru bir şekilde ayırt etmenin mümkün olmadığını açıkladı.
Daha da kötüsü, Tesla kullanıcılarının API anahtarını açıkta kalan kontrol panelinden çıkarmak ve kötü niyetli bir bilgisayar korsanının sürücülerin bilgisi olmadan Teslas’a uzun vadeli erişim sağlamasına izin vermek mümkündü. (Bir API, iki şeyin internet üzerinden birbiriyle konuşmasına izin verir – bu durumda, bir Tesla arabası ve şirketin sunucuları, Tesla uygulaması veya bir TeslaMate panosu.) Tesla’nın API’sine erişim, ilişkili özel bir API anahtarı aracılığıyla Tesla sahipleriyle sınırlıdır. sahibinin hesabıyla.
Açıkta kalan bir API anahtarına erişimle Colombo, İrlanda’daki bir Tesla sahibiyle doğruladığı kapı ve pencerelerin kilidini açmak, kornaya basmak ve anahtarsız sürüşü başlatmak gibi arabanın bazı özelliklerine uzaktan erişebileceğini söyledi. Ayrıca aracın konum verileri, son sürüş rotaları ve park ettiği yer gibi içerideki verilere de erişebilir. Colombo, aracı internet üzerinden uzaktan hareket ettirmek için API erişimini kullanmanın mümkün olduğuna inanmadığını söyledi.
Colombo, güvenlik sorunları Tesla’nın altyapısında olmasa da Tesla’nın güvenliğini artırmak için, bir müşterinin parolası değiştiğinde endüstri standardı bir uygulama olan API anahtarını iptal etmek gibi daha fazlasını yapabileceğini söyledi.
Güvenlik açıklarını özel olarak bildirdikten sonra TeslaMate bir yazılım düzeltmesini zorladı Kullanıcıların erişimi engellemek için manuel olarak yüklemeleri gerekir. TeslaMate proje yürütücüsü Adrian Kumpf, TechCrunch’a güncellemenin Colombo’nun e-postasını aldıktan sonra birkaç saat içinde çıktığını söyledi. Bir e-postada Kumpf, yazılımın kendi kendine barındırıldığı için, kullanıcıların sistemlerini yanlışlıkla internete maruz bırakmalarına karşı koruma sağlayamadığını ve TeslaMate’in belgelerinin kullanıcıları yazılımı “ev ağınıza yüklemeleri” konusunda uzun süredir uyardığını da sözlerine ekledi. aksi takdirde Tesla API jetonlarınız risk altında olabilir.” Kumpf, gelişmiş kurulum seçeneğini tercih eden kullanıcıların etkilenmemesi gerektiğini de söyledi.
Colombo, TechCrunch’a Tesla’nın binlerce sürücünün API anahtarını iptal ettiğini ve bu durumun potansiyel olarak sorunun başlangıçta düşünülenden daha yaygın olabileceğini gösterdiğini söyledi. Tesla, yayınlanmadan önce yorum taleplerine yanıt vermedi. (Tesla, halkla ilişkiler ekibini 2020’de rafa kaldırdı.)
Daha fazla oku:
