在自動駕駛系統遭到美國國家運輸安全委員會批評後,特斯拉當紅車型Model3又被安全人士找到漏洞。近日一名安全研究人員”ze”利用他發現的DoS漏洞弄癱了特斯拉Model3汽車的中控儀表顯示屏。
“ze”在調查了Tesla Model3的Web界面後發現了DoS漏洞(CVE-2020-10558)。
經過一系列的試錯嘗試,他發現通過誘使車主訪問一個特殊設計的網頁可以讓運行Chromium的中控儀表盤系統界面崩潰。
此外,攻擊者還可以通過惡意網頁在Model3的主屏幕上禁用速度計、Web瀏覽器、氣候控制、轉向信號、導航、自動駕駛儀通知和其他功能。
截至發稿特斯拉已經快速響應並修復該漏洞,而且ze也第一時間拿到了特斯拉的漏洞賞金。
該攻擊的途徑基於二人研究組Team Flouroacetate去年在Pwn2Own競賽上在Model3的瀏覽器中發現的一個JIT漏洞。
理查德·朱(Richard Zhu)和阿馬特·卡瑪(Amat Cama)利用此漏洞在Model3的信息娛樂系統上顯示了自己的消息,而ze更進一步,能夠徹毀掉界面。
這兩次黑客攻擊均不構成人身安全風險。例如,ze發現的漏洞利用並沒有抑制駕駛員手動接管系統的能力。
特斯拉儀表盤web漏洞利用演示視頻:
https://safekeepsecurity.com/about/cve-2020-10558/
分享到:
閱讀更多 安全牛 的文章
