IT之家 8 月 19 日消息，據(jù)外媒 Cyber Security News 昨日?qǐng)?bào)道，一名網(wǎng)絡(luò)安全研究員發(fā)現(xiàn)，數(shù)百個(gè)公開(kāi)可訪問(wèn)的 TeslaMate 安裝程序正在未經(jīng)身份驗(yàn)證的情況下泄露敏感的特斯拉車(chē)輛數(shù)據(jù)，向互聯(lián)網(wǎng)上的任何人暴露 GPS 坐標(biāo)、充電模式和駕駛習(xí)慣。

IT之家注：TeslaMate 是一款受特斯拉車(chē)主歡迎的開(kāi)源解決方案，它可以連接到特斯拉的官方 API，為特斯拉車(chē)主提供了一系列功能，包括數(shù)據(jù)分析、監(jiān)控、統(tǒng)計(jì)通知等，還能夠?qū)?shù)據(jù)上傳到云端。

報(bào)道稱(chēng)，這種漏洞源于該工具的配置錯(cuò)誤，安全研究員 Seyfullah KILIÇ 使用復(fù)雜的偵察技術(shù)進(jìn)行了廣泛的互聯(lián)網(wǎng)掃描，以識(shí)別暴露的 TeslaMate 實(shí)例。

該方法涉及在多個(gè) 10Gbps 服務(wù)器上部署 masscan，掃描整個(gè) IPv4 地址空間中開(kāi)放的 4000 端口，該端口承載 TeslaMate 的核心應(yīng)用接口。

在初步發(fā)現(xiàn)階段后，研究人員使用 httpx 過(guò)濾并識(shí)別真正的 TeslaMate 安裝情況，通過(guò)檢測(cè)應(yīng)用程序獨(dú)特的 HTTP 響應(yīng)簽名，掃描操作成功識(shí)別出數(shù)百個(gè)易受攻擊的實(shí)例，這些實(shí)例暴露了特斯拉車(chē)輛實(shí)時(shí)數(shù)據(jù)，包括精確的 GPS 坐標(biāo)、車(chē)輛型號(hào)信息、軟件版本、充電會(huì)話時(shí)間戳和詳細(xì)的位置歷史記錄。

研究人員還創(chuàng)建了一個(gè) teslamap.io 演示網(wǎng)站，用于可視化暴露車(chē)輛的地域分布，展示了隱私泄露的嚴(yán)重性。

報(bào)道提到，根本性的安全漏洞在于 TeslaMate 的默認(rèn)配置，其缺乏對(duì)關(guān)鍵端點(diǎn)的內(nèi)置認(rèn)證機(jī)制。當(dāng)部署在端口 4000 暴露于互聯(lián)網(wǎng)的云服務(wù)器上時(shí)，該應(yīng)用程序會(huì)立即被全球未授權(quán)用戶(hù)訪問(wèn)。

此外，許多安裝運(yùn)行在端口 3000 上的 Grafana 儀表板，使用默認(rèn)或弱密碼憑證，從而創(chuàng)造了多個(gè)攻擊向量。

報(bào)道認(rèn)為，使用 TeslaMate 實(shí)例的特斯拉車(chē)主必須立即采取安全措施來(lái)保護(hù)他們的車(chē)輛數(shù)據(jù)。基本保護(hù)措施包括使用 Nginx 配置反向代理認(rèn)證，以及通過(guò)防火墻規(guī)則限制訪問(wèn)、將服務(wù)綁定到 localhost 接口等。