近日,发现Tesla Model 3存在“CVE-2020-10558”的漏洞,具体信息如下:
调查:
在研究了Tesla Model 3的Web界面后,能够找到一个拒绝服务漏洞(DoS)。这是从惊人的团队Fluoroacetate受到启发之后,他们在浏览器中发现了JIT错误。
经过一番尝试和错误,我在网络浏览器中发现了一个错误。
多亏了一些我可以在github上找到的代码(由于CrashSafari),我才能够用代码托管一个恶意网页。这是一个视频示例。
重要说明:我在视频中指出,这会禁用自动驾驶功能,但这是不正确的。这只会禁用将压力施加在车轮上的通知。如果您继续施加压力,AP将继续起作用。
摘要:
在2020.4.10之前的任何版本中,特斯拉Model 3车辆的驾驶界面都允许由于不适当的流程分离而导致拒绝服务,这使攻击者可以禁用车速表,Web浏览器,气候控制,转向信号,导航,自动驾驶仪通知和主屏幕上的信号灯通知以及其他杂项功能。
攻击方法:
要利用此漏洞,用户必须转到特制的网页。该网页将使基于铬的浏览器界面崩溃,并固有地使整个Tesla Model 3界面崩溃。
如果要在更新之前在特斯拉上对其进行测试,请随时转到此处。请负责任地开车,因为这不会妨碍您手动接管的能力。您仍然可以开车。
Nullze Script Tesla崩溃
警告:上面的脚本仍然会导致您的浏览器在当前使用的系统上崩溃,因此请确保保存您的位置或对此页面使用剪贴簿浏览器。
进度:
通过Bug Crowd报告了此漏洞后,我非常高兴与Tesla团队合作解决此问题。
在任何版本=> 2020.4.10中,此问题已修复。
原文:
https://safekeepsecurity.com/about/cve-2020-10558/
相关来源:
https://safekeepsecurity.com/about/cve-2020-10558/
https://techcrunch.com/2019/03/23/hackers-conquer-tesla-and-win-a-model-3/
本站文章除注明转载外,均为本站原创或编译。欢迎任何形式的转载,但请务必注明出处,尊重他人劳动。
转载请注明:文章转载自头条号「Coral中国」