Исследователь нашел уязвимость в мобильном приложении Tesla и получил доступ к настройкам 25 электромобилей в 13 странах
Девятнадцатилетний «белый» хакер из Германии и основатель ИБ-стартапа Colombo Technology Дэвид Коломбо рассказал, что обнаружил уязвимость в мобильном приложении Tesla. С ее помощью он получил доступ к данным, параметрам и настройкам более чем 25 электромобилей Tesla в 13 странах мира. Он смог блокировать машины, изменять настройки климата, включать любую музыку на большой громкости. Доступа к управлению или влиянию на ходовые возможности электромобилей у него не было. Коломбо сообщил в Tesla о своей находке. Разработчики подтвердили факт уязвимости в системе и сейчас ее закрывают.
С помощью мобильного приложения Tesla на смартфоне можно управлять основными настройками электромобиля удаленно, открывать или блокировать его, просматривать логи и историю пользования машиной.
Коломбо пояснил, что это не уязвимость в инфраструктуре Tesla, а она связана с ошибкой в работе мобильного приложения, которое было некорректно установлено или настроено у некоторых владельцев Tesla, или у них произошла утечка данных из этого приложения.
Коломбо из-за этой ошибки получил доступ к привязанным в приложении машинам нескольких десятков пользователей. Он может там отключать режим безопасности Sentry Mode, мигать фарами, открывать или закрывать двери и окна, позволять удаленно сесть в машину без ключа. Исследователь может узнать точное местоположение электромобиля, есть ли там сейчас владелец, а также включать пассажирам или водителю музыку и запускать видео по своему усмотрению.
Исследователь добавил, что повлиять дистанционно на работу рулевого управления, заставить ускориться и затормозить электромобиль он с помощью этой уязвимости не может. Фактически у него в руках оказалась возможность удаленно разблокировать машину для автовора, который может придти на место ее парковки и свободно уехать на Tesla.
В настоящее время разработчики и ИБ-специалисты Tesla определили причину проблемы и уже провели удаленный отзыв нескольких тысяч токенов аутентификации Tesla у владельцев по всему миру. Пользователей уведомили, что они могут перезайти в систему и получить новые токены для продолжения работы со своими машинами через приложение.
В ноябре 2021 года из-за сбоя на серверах компании некоторые владельцы Tesla на несколько часов лишились доступа к своим электромобилям — у них не работало приложение Tesla, там отключились часть сервисов, включая бесключевой доступ к электромобилям. Пользователи не могли разблокировать и попасть в свои электромобили с помощью смартфона, причем в некоторых случаях приложение выдавало данные о неверном местоположении автомобиля. Проблема коснулась клиентов компании в разных странах мира — в США, Южной Корее, Австралии и Европе.
