freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

特斯拉中央触摸屏存在漏洞,可致拒绝服务攻击
2020-03-24 16:15:30

网名为Nullze的研究人员发现特斯拉(Tesla)Model 3的web接口受到一个拒绝服务漏洞的影响。

该漏洞编号为CVE-2020-10558,源于“进程分离不当”,攻击者可利用该漏洞造成中央显示屏不响应。

Nullze在一篇博客文章中写道,“攻击者可利用该漏洞禁用主屏上的记速表,气候控制系统,转向信号,导航,自动驾驶仪通知,和闪光灯通知以及其他各种功能。”

Nullze补充说明到,“要利用该漏洞,用户必须访问特制的web页面,该web页面会造成基于chromium的浏览器接口崩溃,从根本上造成整个特斯拉Model 3接口崩溃。”

该名研究人员指出,虽然利用该漏洞会造成整个中央显示屏崩溃,但车辆仍然可以驾驶。一旦车辆熄火并重新着车后,显示屏就开始运行。

Nullze通过特斯拉在Bugcrowd众测平台上的漏洞赏金项目向特斯拉报告了该漏洞。特斯拉向Nullze授予了漏洞奖金,但具体金额未披露。

特斯拉的漏洞赏金范围为100美金至15 000美金。去年,特斯拉授予一名研究人员10 000美金赏金。该名研究人员发现一个存储型跨站脚本漏洞,该漏洞可被利用于获取车辆信息。

特斯拉在二月中旬发布2020.4.10版本,修复Nullze报告的漏洞。软件更新会自动推送至特斯拉车辆,用户可以立即安装。如果不是马上要驾驶车辆,也可以计划安排稍后更新。

尚未安装更新的特斯拉用户可以使用Nullze发布的PoC利用代码测试该漏洞。Nullze还发布了多个视频,显示该exploit的运转。

Nullze表示,看到Amat Cama和RichardZhu在Pwn2Own 2019比赛中黑掉特斯拉的web浏览器后赢得了一辆特斯拉,他开始研究特斯拉车辆的安全性。


本文源自Security Week;转载请注明出处。

# Tesla
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者