近日,發現Tesla Model 3存在“CVE-2020-10558”的漏洞,具體信息如下:
調查:
在研究了Tesla Model 3的Web界面後,能夠找到一個拒絕服務漏洞(DoS)。這是從驚人的團隊Fluoroacetate受到啟發之後,他們在瀏覽器中發現了JIT錯誤。
經過一番嘗試和錯誤,我在網絡瀏覽器中發現了一個錯誤。
多虧了一些我可以在github上找到的代碼(由於CrashSafari),我才能夠用代碼託管一個惡意網頁。這是一個視頻示例。
重要說明:我在視頻中指出,這會禁用自動駕駛功能,但這是不正確的。這隻會禁用將壓力施加在車輪上的通知。如果您繼續施加壓力,AP將繼續起作用。
摘要:
在2020.4.10之前的任何版本中,特斯拉Model 3車輛的駕駛界面都允許由於不適當的流程分離而導致拒絕服務,這使攻擊者可以禁用車速表,Web瀏覽器,氣候控制,轉向信號,導航,自動駕駛儀通知和主屏幕上的信號燈通知以及其他雜項功能。
Tesla Model 3 爆出漏洞
攻擊方法:
要利用此漏洞,用戶必須轉到特製的網頁。該網頁將使基於鉻的瀏覽器界面崩潰,並固有地使整個Tesla Model 3界面崩潰。
如果要在更新之前在特斯拉上對其進行測試,請隨時轉到此處。請負責任地開車,因為這不會妨礙您手動接管的能力。您仍然可以開車。
Nullze Script Tesla崩潰
警告:上面的腳本仍然會導致您的瀏覽器在當前使用的系統上崩潰,因此請確保保存您的位置或對此頁面使用剪貼簿瀏覽器。
進度:
通過Bug Crowd報告了此漏洞後,我非常高興與Tesla團隊合作解決此問題。
在任何版本=> 2020.4.10中,此問題已修復。
原文:
https://safekeepsecurity.com/about/cve-2020-10558/
相關來源:
https://safekeepsecurity.com/about/cve-2020-10558/
https://techcrunch.com/2019/03/23/hackers-conquer-tesla-and-win-a-model-3/
本站文章除註明轉載外,均為本站原創或編譯。歡迎任何形式的轉載,但請務必註明出處,尊重他人勞動。
轉載請註明:文章轉載自頭條號「Coral中國」
