19-летний хакер и исследователь кибербезопасности Дэвид Коломбо смог контролировать десятки автомобилей Tesla по всему миру с помощью уязвимости в стороннем ПО. Об этом он рассказал в своем аккаунте в твиттере.
«Итак, теперь у меня есть полный удаленный контроль над более чем 20 Tesla в 10 странах, и, кажется, нет никакого способа найти владельцев и сообщить им об этом», — написал молодой специалист в сфере кибербезопасности.
Журнал Vice отмечает, что Коломбо не раскрывает названия ПО и не дает какой‑то конкретики. Известно, что стороннее приложение получает данные об автомобиле через API Tesla. Владельцы пользуются им, чтобы собирать и анализировать информацию о своем транспортном средстве. Суть проблемы заключается в том, что это приложение предоставляет закрытый ключ API, который злоумышленники могут найти в интернете.
Как пояснил Коломбо, благодаря уязвимости в приложении он получил доступ к некоторым функциям, доступным только владельцам автомобиля. В том числе смог следить за местоположением Tesla, удаленно открывать двери и окна, заводить машину без ключа и отключать систему видеонаблюдения. При этом управлять автомобилем дистанционно нельзя.
I think it‘s pretty dangerous, if someone is able to remotely blast music on full volume or open the windows/doors while you are on the highway.
— David Colombo (@david_colombo_) January 11, 2022
Even flashing the lights non-stop can potentially have some (dangerous) impact on other drivers.
[4/X]
Он отметил, что «это не уязвимость в инфраструктуре Tesla, это вина владельцев», и поэтому хотел бы с ними связаться. Всего юноше удалось подключиться к более чем 25 автомобилям из 13 стран Европы и Северной Америки.
Тред Коломбо стал очень популярным в твиттере, и за его публикацией последовало множество дискуссий на тему рисков при покупке устройств, работающих с помощью интернета, — от холодильников до дверных звонков. Спустя несколько дней Дэвид Коломбо подробнее рассказал об этой истории в комментарии для Bloomberg.
По словам Коломбо, с ним связался сотрудник службы безопасности Tesla и поделился своими выводами. Какими именно — не уточняется. Хакер предоставил скриншоты и некоторые документы, подробно описывающие его результаты и данные, идентифицирующие производителя стороннего программного обеспечения. Он попросил Bloomberg не публиковать эти подробности, так как уязвимость все еще не устранена, и злоумышленники могут ею воспользоваться.
Дэвид Коломбо также сказал, что ему все-таки удалось связаться с тремя владельцами взломанных Tesla: в Германии, США и Ирландии. Он показал изданию скриншоты переписки с одним из них — пострадавший владелец разрешил юноше дистанционно посигналить, чтобы подтвердить уязвимость.
«Я хотел сообщить об этом владельцам — это вся история. Потому что если я этого не сделаю, возможно, кто‑то со злым намерением найдет эти системные уязвимости и сделает что‑то вредоносное», — заключил Коломбо.
Пресс-секретарь Национальной администрации безопасности дорожного движения США заявила, что ведомство связалось с Tesla по этому вопросу. Техническая группа регулятора по кибербезопасности пообещала помочь с оценкой и рассмотрением информации.