Hakeri adoleshent shpjegon se si arriti të fitonte akses në Teslat në mbarë botën
Studiuesi 19-vjeçar gjerman i sigurisë, i cili në një farë mënyre arriti të fitonte akses nga distanca në dhjetëra Tesla të përhapura në të gjithë botën, shpjegon se si e bëri këtë. David Colombo dha një studim të thelluar të eksperimentit të tij të mëparshëm, ku ai pretendoi se mund të ekzekutonte komandat në distancë (si rregullimi i volumit stereo të një automjeti, manipulimi i dyerve dhe dritareve, madje edhe të drejtojë automjetin pa shofer). , potencialisht pa e ditur ndonjëherë shoferët. Colombo zbuloi se ai ishte në gjendje të fitonte akses në automjete përmes një defekti sigurie në një mjet regjistrimi me burim të hapur të quajtur TeslaMate. Ky mjet i lejon pronarët e Tesla-s të monitorojnë të dhëna më të hollësishme si konsumi i energjisë i automjetit të tyre dhe historia e vendndodhjes duke përdorur API-në e Tesla-s. Megjithatë, Colombo tha se ishte në gjendje të ripërdorte një pjesë të vogël të çelësave API të Tesla-s, të cilët ai tha se ishin ruajtur të pakyçur në TeslaMate.
“Ju mund të ekzekutoni komanda që i bezdisin pronarin e Teslës,” shkroi Colombo, “Dhe madje mund të vidhni Teslën.” Shkrimi ishte pjesë e raportit zyrtar të zbulimit përgjegjës të Colombo të dorëzuar në ekipin e sigurisë së Tesla-s.
Colombo thotë se ai “gjeti 25+ [sic] të Teslës nga 13 vende brenda disa orësh”. Vendet ku ndodheshin automjetet Tesla përfshijnë “Gjermaninë, Belgjikën, Finlandën, Danimarkën, MB, SHBA, Kanada, Itali, Irlandë, Francë, Austri dhe Zvicër,” shkroi ai, duke shtuar: “Kishte rreth të paktën një shtesë. 30+ nga Kina, por me të vërtetë nuk doja të ngatërrohesha me ligjet e sigurisë kibernetike të Kinës, kështu që i lashë plotësisht të paprekura.”
Meqenëse Tesla më vonë revokoi “mijëra çelësa”, tha Colombo, është e mundur që çështja të ishte shumë më e përhapur sesa zbuloi kërkimi i tij.
Megjithëse Colombo ishte në gjendje të manipulonte një sasi tronditëse të veçorive të makinës, ai nuk beson se do të kishte qenë në gjendje të lëvizte makinën nga distanca ose të manipulonte drejtimin ose frenat. Colombo tha se ai kontaktoi me Tesla dhe TeslaMate dhe se rregullimet janë lëshuar.
Në planin e tij kohor të ngjarjeve, studiuesi tha se ai së pari vuri re cenueshmërinë në një automjet të vetëm në tetor 2021 përpara se ta zbulonte atë në 20 të tjera në fillim të këtij muaji. Imazhet në postimin në blog tregojnë harta të detajuara që dokumentojnë historinë e drejtimit të disa prej automjeteve të prekura me saktësi të frikshme. Colombo përfshiu gjithashtu imazhe të shkëmbimeve të mesazheve me tekst midis tij dhe një prej pronarëve të prekur të Tesla-s. Në atë rast, pronari i dha Colombo leje për të ndezur nga distanca borinë e makinës së tij.
Colombo dha gjithashtu disa detaje mbi një defekt shtesë, këtë herë në çelësin dixhital të makinës së Teslës, që e lejoi atë të merrte adresat e emailit të shoferëve. Në një përpjekje të sinqertë për të paralajmëruar drejtuesit e prekur më parë për defektin e palës së tretë që prek automjetet e tyre, Colombo tha se ai u ndesh me një të metë që e lejoi atë të pyeste adresat e emailit të shoferëve. Megjithëse Colombo po kërkonte posaçërisht për emailet e pronarëve të automjeteve të prekura, gabimi i softuerit potencialisht mund të abuzohej për të gjetur emaile të lidhura me pronarë të tjerë të Teslës.
“Në fillim të tregimit nuk kisha asnjë mënyrë për të gjetur informacione identifikuese të pronarit dhe tani mund të kërkoj adresat e emailit edhe me akses të revokuar,” shkroi Colombo, “Disi ironike!”
Colombo më vonë sqaroi gjetjet e tij në një intervistë me Bloomberg duke thënë se defekti u gjet në një API për çelësin dixhital të makinës Tesla. Studiuesi tha se ai njoftoi menjëherë ekipin e sigurisë së Teslës për defektin e emailit dhe konfirmoi se ata kishin nxjerrë shpejt një patch për të adresuar çështjen.
“Nuk duhet të ketë asnjë mënyrë që dikush të mund të shkojë fjalë për fjalë tek disa Tesla që nuk i kanë dhe t’i marrë me makinë,” shkroi Colombo.