8 月 19 日消息,据外媒 Cyber Security News 昨日报道,一名网络安全研究员发现,数百个公开可访问的 TeslaMate 安装程序正在未经身份验证的情况下泄露敏感的特斯拉车辆数据,向互联网上的任何人暴露 GPS 坐标、充电模式和驾驶习惯。
TeslaMate 是一款受特斯拉车主欢迎的开源解决方案,它可以连接到特斯拉的官方 API,为特斯拉车主提供了一系列功能,包括数据分析、监控、统计通知等,还能够将数据上传到云端。
报道称,这种漏洞源于该工具的配置错误,安全研究员 Seyfullah KILIÇ 使用复杂的侦察技术进行了广泛的互联网扫描,以识别暴露的 TeslaMate 实例。
该方法涉及在多个 10Gbps 服务器上部署 masscan,扫描整个 IPv4 地址空间中开放的 4000 端口,该端口承载 TeslaMate 的核心应用接口。
在初步发现阶段后,研究人员使用 httpx 过滤并识别真正的 TeslaMate 安装情况,通过检测应用程序独特的 HTTP 响应签名,扫描操作成功识别出数百个易受攻击的实例,这些实例暴露了特斯拉车辆实时数据,包括精确的 GPS 坐标、车辆型号信息、软件版本、充电会话时间戳和详细的位置历史记录。
研究人员还创建了一个 teslamap.io 演示网站,用于可视化暴露车辆的地域分布,展示了隐私泄露的严重性。
报道提到,根本性的安全漏洞在于 TeslaMate 的默认配置,其缺乏对关键端点的内置认证机制。当部署在端口 4000 暴露于互联网的云服务器上时,该应用程序会立即被全球未授权用户访问。
此外,许多安装运行在端口 3000 上的 Grafana 仪表板,使用默认或弱密码凭证,从而创造了多个攻击向量。
报道认为,使用 TeslaMate 实例的特斯拉车主必须立即采取安全措施来保护他们的车辆数据。基本保护措施包括使用 Nginx 配置反向代理认证,以及通过防火墙规则限制访问、将服务绑定到 localhost 接口等。