IT之家于8月19日通报,依据外媒Cyber Security News前日披露,有网络安全专家察觉,众多TeslaMate安装程序对公众开放,且未实施身份验证,致使特斯拉车辆关键信息外泄,让互联网上的任何人都能获取车辆的GPS位置、充电状况以及驾驶倾向。
IT之家报道:特斯拉Mate是一个广受车主喜爱的开放平台,该方案能够接入特斯拉官方接口,为车主们带来诸多便利,比如解析车辆数据,实施车辆监控,发布统计信息,以及推送各类提醒,同时还能将相关数据传输至网络服务器。
该工具存在配置失误,导致出现漏洞,安全研究员 Seyfullah KILIÇ 运用了精密的侦查手段,对互联网进行了大范围扫描,目的是找出公开的 TeslaMate 设备。
这种技术需要在若干台 10Gbps 服务器上安装 masscan软件,用来检测所有 IPv4 网段中可用的 4000 端口,此端口负责 TeslaMate 的主要功能通信。
研究团队在初步侦查环节完成之后,借助 httpx 工具筛选并确认了确凿的 TeslaMate 安装状况,依据该应用独有的 HTTP 响应特征进行判断,扫描行动精准锁定了数百个存在安全风险的设备,这些设备导致特斯拉汽车实时信息遭到外泄,其中涉及精确的 GPS 定位数据、车辆规格详情、软件当前版本、充电过程时间记录以及详尽的位置变动历史。
科研工作者又设立了一个 teslamap.io 的展示平台,用来呈现车辆分布状况,从而揭示隐私失守的严峻程度。
报道指出,一个关键性的安全隐患源于 TeslaMate 的初始设置,它没有内置对重要接口的验证环节。一旦这个程序安装在端口 4000 并连接到公共网络,就会让全世界的非授权者能够轻易进入。
另外,众多运行于3000端口的Grafana面板,其登录凭据为默认值或不够牢固,由此形成了若干条可供入侵的路径。
报道指出,特斯拉车主若使用 TeslaMate 实例,需立刻采取安全举措来确保车辆信息的安全。首要防护手段有,配置 Nginx 实现反向代理的身份验证,同时借助防火墙规则来控制访问权限,并且把服务限定在 localhost 接口上运行。
