登陆

挖洞经历 | 开裂的挡风玻璃让我获得了特斯拉$10,000的缝隙赏金

admin 2019-08-06 360人围观 ,发现0个评论

*本文中触及到的相关缝隙已报送厂商并得到修正,本文仅限技能研讨与评论,禁止用于不合法用处,不然发生的全部结果自行承当。

能有机会对Tesla Model 3进行安全测验是一件风趣的事,由于Tesla Model 3的内置体系有网页浏览器、免费高档的LTE和用于软件更新的OTA空中无线技能,说白了,它便是一台在奔驰车轮之上的联网计算机。

所以,在今年年初我买了一辆Tesla Model 3,不管耍弄它仍是驾驭它,我都乐在其间。新车到手的那几天,我在车库里琢磨了很长时刻,企图让它履行一些本不该做的操作,看看有什么缝隙发现,十分走运,我从中有所发现。

2019年4月

首要,我研讨的便是Tesla Model 3的“Name Your Vehicle”(命名你的车辆)功用,该功用答应车主为自己的爱车设置昵称,并将其保存到个人账户中,当车辆推送充电完结等操作告诉时,这个车辆昵称可显现在车主的手机端移动使用上。“Name Your Vehicle”功用在以下右上角图示按钮:

刚开端,我把车辆昵称设置为了“%x.%x.%x.%x”,想看看它是否像2011款宝马330i相同存在格局goal字符串缝隙(CVE-2017-9212),但惋惜的是,没有。

CVE-2017-9212:Bluetooth stack是使用在BMW 330i中的一个蓝牙传输协议,BMW 330i 2011版别中的Bluetooth stack存在安全缝隙,长途攻击者可凭借设备名中的 %x或%c格局字符串说明符使用该缝隙形成CD/Multimedia软件溃散。

CVE-2017-9212:Bluetooth stack是使用在BMW 330i中的一个蓝牙传输协议,BMW 330i 2011版别中的Bluetooth stack存在安全缝隙,长途攻击者可凭借设备名中的 %x或%c格局字符串说明符使用该缝隙形成CD/Mu挖洞经历 | 开裂的挡风玻璃让我获得了特斯拉$10,000的缝隙赏金ltimedia软件溃散。

我持续把玩“Name Your Vehicle”功用的用户输入点,后来发现它可答应输入内容的长度十分长,所以,我把它命名为了一个XSS Payload-“>,看看它会否被其它功用调用履行。

接着,我又研讨了其内置的网页浏览器,经过载入文件或结构URI,也没能在其上面完成任何可长途完成的操作,但整个进程很有意思。那天晚上我一无所得,就早早收场歇息,也忘了把车辆昵称改回来,仍是之前设置的那个Blind XSS Payload。

2019年6月

在一次公路游览中,一块大石头忽然从什么地方冒出来,砸裂了我的挡风玻璃。

之后,我在特斯拉手机端APP中预定了一次车检,就又持续日常驾驭了。第二天,我手机邮箱收到了一条XSS Hunter提示音讯,其间提示有人检查了我的XSS Payload,也便是我之前设置的那个XSS昵称 – “>。这就有意思了不是。

经检查,我发现特斯拉后台存在缝隙的页面URL为:

https://redacted.teslamotors.com/redacted/5057517/redacted

https://redacted.teslamotors.com/redacted/5057517/redacted

XSS被履行的域为:

https://redacted.te挖洞经历 | 开裂的挡风玻璃让我获得了特斯拉$10,000的缝隙赏金slamotors.com

https://redacted.teslamotors.co挖洞经历 | 开裂的挡风玻璃让我获得了特斯拉$10,000的缝隙赏金m

Referer源页面为:

https://redacted.teslamotors.com/redacted/5YJ31337

https://redacted.teslamotors.com/redacted/5YJ31337

也便是说,特斯拉的后台职工在域名“redacted.teslamotors.com” 下,检查了我对挡风玻璃开裂的预定车检时,由于之前我设置了车辆昵称为“>,因而触发了这个XSS Payload。

XSS Hunter的提示音讯截图显现,经由上述存在缝隙的页面挖洞经历 | 开裂的挡风玻璃让我获得了特斯拉$10,000的缝隙赏金URL,特斯拉后台服务端能够呼应显现出一些有关车辆的要害数据信息,而且能够经过添加URL中的车辆标识号(Vehicle ID ),来获取到其它车主名下特斯拉车辆的要害数据信息。这儿的的车辆标识号Vehicle ID便是正文中的VIN Number。我挖洞经历 | 开裂的挡风玻璃让我获得了特斯拉$10,000的缝隙赏金猜测,XSS Payload的触发方位或许坐落特斯拉的某个车辆办理界面中。

XSS Hunter的截图标明,我这辆车的速度、温度、版别号、胎压、确定状况、警报等其它详细信息都被显现出来了。如下:

VIN: 5YJ3E13374KF2313373

Car Type: 3 P74D

Birthday: Mon Mar 11 16:31:37 2019

Car Version: develop-2019.20.1-203-991337d

Car Computer: ice

SOE / USOE: 48.9, 48.9 %

SOC: 54.2 %

Ideal energy remaining: 37.2 kWh

Range: 151.7 mi

Odometer: 4813.7 miles

Gear: D

Speed: 81 mph

Local Time: Wed Jun 19 15:09:06 2019

UTC Offset: -21600

Timezone: Mountain Daylight Time

BMS State: DRIVE

12V Battery Voltage: 13.881 V

12V Battery Current: 0.13 A

Locked?: true

UI Mode: comfort

Language: English

Service Alert: 0X0

别的,还存在固件、总结监测器、地舆围栏方位(Geofence)、轿车装备和代码称号功用等十分有意思的信息标签,如下:

我曾测验去拜访上述缝隙页面中触及的域名 - “redacted.teslamotors.com” ,可是却显现超时,这样看来它或许是特斯拉的一个内部Web使用。

更有意思的是,我以为特斯拉后台支撑人员或许具有向轿车自身发送数据,长途对车辆进行装备更新的才能,我猜该使用或许是根据DOM超链接的方法办理车辆信息,但我没有进行深化测验。不过能够必定的是,经过添加其间的车辆标识号(VIN)数字,向特斯拉后台发送支撑性恳求,这样,攻击者能够获取或更改其他车主名下的特斯拉轿车信息。

作为攻击者来说,能够向特斯拉后台提交多种支撑性恳求,以完成侵略攻破行为做足支撑。但出于对测验和其他车主的尊重,我没有这样做。由于实际上,经过呼应信息的DOM结构和Java代码,就能够向特斯拉后台假造恳求,取得我想要的信息。

缝隙上报

在开了将近11个小时的车之后,清晨两点,我容光焕发地编写完了缝隙陈述上报给了特斯拉安全团队。很快,特斯拉就给我回复,缝隙终究被划分为P1重要级,在观念定见交流后,特斯拉在半响之内就推出了更新补丁。

两周之后,特斯拉官方给了我$10,000美金的奖赏,并承认这是一个高危缝隙。回忆该缝隙的发现进程,能够算是十分简略,但能够了解的是,有时候一些安全问题总会被忽视掉。虽然则开端我不确定该缝隙的切当影响,但它是有用实在的,至少可答应攻击者检查方针车辆的实时信息,并或许检查到其他车主的相关信息。

缝隙上报进程

2019.6.20 06:27:30 UTC 缝隙上报

2019.6.20 20:35:35 UTC 缝隙分类、推出补丁

2019.7.11 16:07:59 UTC $10,000赏金发放

2019.6.20 06:27:30 UTC 缝隙上报

2019.6.20 20:35:35 UTC 缝隙分类、推出补丁

2019.7.11 16:07:59 UTC $10,000赏金发放

*参阅来历:samcurry,clouds编译,转载请注明来自FreeBuf.COM

请关注微信公众号
微信二维码
不容错过
Powered By Z-BlogPHP