通过Web攻击接管特斯拉汽车仪表盘

在自动驾驶系统遭到美国国家运输安全委员会批评后，特斯拉当红车型Model3又被安全人士找到漏洞。近日一名安全研究人员"Nullze"利用他发现的DoS漏洞弄瘫了特斯拉Model3汽车的中控仪表显示屏。

"Nullze"在调查了Tesla Model3的Web界面后发现了DoS漏洞(CVE-2020-10558)。

经过一系列的试错尝试，他发现通过诱使车主访问一个特殊设计的网页可以让运行Chromium的中控仪表盘系统界面崩溃。

此外，攻击者还可以通过恶意网页在Model3的主屏幕上禁用速度计、Web浏览器、气候控制、转向信号、导航、自动驾驶仪通知和其他功能。

截至发稿特斯拉已经快速响应并修复该漏洞，而且Nullze也第一时间拿到了特斯拉的漏洞赏金。

基于之前的研究成果

该攻击的途径基于二人研究组Team Flouroacetate去年在Pwn2Own竞赛上在Model3的浏览器中发现的一个JIT漏洞。

理查德·朱(Richard Zhu)和阿马特·卡玛(Amat Cama)利用此漏洞在Model3的信息娱乐系统上显示了自己的消息，而Nullze更进一步，能够彻毁掉界面。

这两次黑客攻击均不构成人身安全风险。例如，Nullze发现的漏洞利用并没有抑制驾驶员手动接管系统的能力。

参考资料

特斯拉仪表盘web漏洞利用演示视频：

https://safekeepsecurity.com/about/cve-2020-10558/