在自动驾驶系统遭到美国国家运输安全委员会批评后,特斯拉当红车型Model3又被安全人士找到漏洞。近日一名安全研究人员”Nullze”利用他发现的DoS漏洞弄瘫了特斯拉Model3汽车的中控仪表显示屏。
“Nullze”在调查了Tesla Model3的Web界面后发现了DoS漏洞(CVE-2020-10558)。
经过一系列的试错尝试,他发现通过诱使车主访问一个特殊设计的网页可以让运行Chromium的中控仪表盘系统界面崩溃。
此外,攻击者还可以通过恶意网页在Model3的主屏幕上禁用速度计、Web浏览器、气候控制、转向信号、导航、自动驾驶仪通知和其他功能。
截至发稿特斯拉已经快速响应并修复该漏洞,而且Nullze也第一时间拿到了特斯拉的漏洞赏金。
基于之前的研究成果该攻击的途径基于二人研究组Team Flouroacetate去年在Pwn2Own竞赛上在Model3的浏览器中发现的一个JIT漏洞。
理查德·朱(Richard Zhu)和阿马特·卡玛(Amat Cama)利用此漏洞在Model3的信息娱乐系统上显示了自己的消息,而Nullze更进一步,能够彻毁掉界面。
这两次黑客攻击均不构成人身安全风险。例如,Nullze发现的漏洞利用并没有抑制驾驶员手动接管系统的能力。
参考资料
特斯拉仪表盘web漏洞利用演示视频:
https://safekeepsecurity.com/about/cve-2020-10558/