特斯拉上价值10000美元的XSS漏洞

iso60001  1989天前

22.jpg

最近,我生活中的一大乐趣就是对我的Tesla Model 3进行各种尝试摸索。它有内置的网络浏览器,能用4G上网,能自动更新软件。它是一台运行在轮胎上的电脑,而且它的“运行速度”真的很快。

33.jpg

我是在今年年初决定买一辆的,无论是渗透测试还是日常使用,我都获得了极大的乐趣。我曾长时间坐在车内研究一些它“不应该”做的事,并最终得到了我想要的东西。

2019年4月

得到车的第一件事就是给汽车命名,你可以为你的汽车设置任意一个昵称,这个信息将保存到你的帐户,方便在推送通知(例如充电完成)时添加前缀。

44.jpg

最初,我把我的车命名为%x.%x.%x.%x,以测试它是否像2011 BMW 330i一样易受到格式字符串攻击(如下图),但遗憾的是,攻击没有成功。

55.png

在花了较多的时间研究后,我发现它允许输入很长的内容。于是我决定将Tesla命名为我的XSS Hunter中的payload,然后再研究汽车上的其他功能,看会发生什么神奇的事情。我一开始猜想这个payload可能会出现在和Tesla有关的网站上。

66.jpg

接下来,我花了很多时间去研究内置的浏览器。我控制它能做的“坏事”很少,但我仍不断尝试用它去加载奇怪的文件和URI。

可能那天我运气不好,没找到任何漏洞,于是我把汽车熄火,只留下了那个汽车姓名处的XSS。

2019年6月

在一次公路旅行中,一块巨石从天而降头,把我的挡风玻璃砸碎了。

77.jpg

于是,我使用Tesla的应用预约了维修,并继续驾驶。

第二天,我收到一条关于这个预约的短信,说已有人在处理流程。此时我查了一下我的XSS hunter,发现了一些非常有趣的东西。

Vulnerable Page URL
https://garage.vn.teslamotors.com/vehicles/695057517/vitals

Execution Origin
https://garage.vn.teslamotors.com

Referer
https://garage.vn.teslamotors.com/vehicles/5YJ31337

OK!现在一个负责修复挡风玻璃的工作人员触发了这个XSS。所涉及的域名是garage.vn.teslamotors.com

这太令人兴奋了。

而且XSS Hunter中的屏幕截图显示,触发XSS的网页用于查看车辆的重要统计信息,而URL中ID代表车辆(貌似可访问其他车辆)。而referer将我的车辆的识别号码作为参数。

一个用于管理特斯拉汽车敏感信息的网站中招了。

值得一提的是,XSS Hunter屏幕截图显示了很多有关我汽车的信息,例如速度、温度、版本号、轮胎压力、是否被锁定、警报以及其他信息。

车辆识别号:5YJ3E13374KF2313373

车辆型号:3 P74D

生日:2019年3月11日 周一 16:31:37

车辆版本:develop-2019.20.1-203-991337d

车载电脑:ice

SOE/USOE:48.9,48.9%

荷电状态:54.2%

剩余电量:37.2 kWh

行驶范围:151.7英里

里程表:4813.7英里

档位:D

速度:81英里/小时

当地时间:2019年6月19日 星期三 15:09:06

UTC偏移量:-21600

时区:夏令时

BMS状态:DRIVE

12伏电池电压:13.881 V

12伏电池电流:0.13A

锁定状态:锁定

用户界面模式:舒适

语言:英语

服务警报:0x0

此外,还有一些关于固件、CAN总线查看器、地理位置、配置和内部代码名称的信息,有些听起来很有趣(比如“Tesladex Info”)。

88.png

我试图进入garage.vn.teslamotors.com,但显示超时了。这可能是一个内部的网络应用。

此外,非常有趣的一点是,我还可以通过实时代理向汽车发送控制请求,貌似能修改车辆配置。我猜想这个应用程序应该是基于不同超链接来实现不同功能。

我没有尝试进行如上攻击,但其他攻击者很可能通过遍历端点处的ID去提取和修改其他车辆的信息。

如果我是一个真实的攻击者,我可能进行更多的攻击尝试,更仔细地研究网页页面信息,或许真的能对特斯拉的其他车辆进行破坏性攻击。

报告

在凌晨2点左右,我给特斯拉的漏洞赏金计划提交了一份漏洞报告。他们将其分类为P1(最高严重等级),并在12小时内推出了一个热补丁。

99.png

虽然我再也无法复制漏洞,但在大约两周后,他们给了我1万美元的赏金,这说明漏洞确实存在,且问题很严重。

现在想想,虽然我不确定这个漏洞的确切影响,但它至少可以让攻击者窥探到车辆及其客户的敏感信息。

时间线

2019年6月20日 06:27:30 ——漏洞报告完成

2019年6月20日 20:35:35 ——热补丁上线

2019年7月11日 16:07:59 ——发放漏洞赏金

最后,我要感谢特斯拉的漏洞奖励计划。它们为那些诚心诚意想要“测试”汽车的研究人员提供了一个安全的避风港。如果你不小心弄坏汽车,他们甚至会提供帮助来修复。

本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场
来源:https://samcurry.net/cracking-my-windshield-and-earning-10000-on-the-tesla-bug-bounty-program/

最新评论

zhangcaiyan  :  厉害
1989天前 回复
BMW  :  我也想挖特斯拉的洞,请问你们车从哪**的?
1989天前 回复
昵称
邮箱
提交评论