Virheellisesti Määritetyt TeslaMate-Instanssit Asettavat Tesla-Autojen Omistajat Vaaraan
Hyökkääjät voivat löytää suuren määrän tietoa Tesla-autoista ja niiden omistajista etsimällä verkosta virheellisesti määritettyjä TeslaMate-instansseja, raportoi IoT-turvallisuustiedusteluyritys Redinent.
TeslaMate on kolmannen osapuolen datakirjaussovellus, joka käyttää Tesla API:a hakeakseen erilaisia tietoja Tesla-autoista ja tekee ne saataville käyttäjille heidän tietokoneillaan. Vaikka sovellus on erinomainen työkalu autotiedon seuraamiseen, se voi myös aiheuttaa merkittävän riskin, jos sitä ei ole oikein määritetty, Redinent on havainnut.
Erilaisia tietoja sovelluksesta voi löytää verkosta etsimällä kuvia, joissa on ’teslamate configure’ -tägit, mutta hyökkääjät voivat myös käyttää erikoistuneita hakukoneita ja tiettyjä kyselyitä tunnistaakseen virheellisesti määritetyt TeslaMate-instanssit ja päästäkseen käsiksi tietoihin ilman valtuutusta.
Käyttäen Censys’n hakupalvelua, Redinent on tunnistanut yli 1 400 virheellisesti määritettyä instanssia, jotka sallivat pääsyn ilman autentikointia. Hyökkääjä voisi suorittaa tämän toiminnon päästäkseen käsiksi auton live-sijaintiin, tarkistaakseen onko ajoneuvo lukittu ja onko kuljettaja läsnä, ja jopa saadakseen online-auton nukkumaan.
Ongelma, Redinent huomauttaa, on että käyttäjät eivät usein määritä tätä kolmannen osapuolen ohjelmistoa oikein, mikä johtaa yksityisyyden loukkauksiin ja muihin riskeihin sallimalla luvaton pääsy Tesla-auton tietoihin.
Lisäksi, hyökkääjä voisi “asettaa virtuaalisia rajoja auton ympärille ja saada hälytyksiä, mikä voi vaarantaa omistajan päivittäisen rutiinin ja aiheuttaa riskejä, kuten suunniteltuja ryöstöjä tai muita haitallisia toimintoja,” Redinent huomauttaa.
Vastauksena SecurityWeekin tiedusteluun, Redinentin turvallisuustutkija Souvik Kandar sanoi, että haavoittuvuus on raportoitu TeslaMatelle. “Mutta haavoittuvuus johtuu virheellisestä määrittämisestä käyttäjän päässä. Teslamate ei ole syyllinen tässä,” Kandar sanoi.
Lähde: Security Week