محقق ۱۹ ساله و دسترسی از راه دور به خودروهای تسلا
محقق امنیتی ۱۹ سالهی آلمانی که مدعی شد توانسته از راه دور به دهها خودروی تسلا دسترسی پیدا کند و با این کار به تیتر یک بسیاری از رسانهها تبدیل شد، اخیراً تصمیم گرفته جزئیاتی دربارهی نحوهی انجام این کار منتشر کند.
بر اساس آنچه گیزمودو مینویسد، دیوید کلمبو، هکر ۱۹ ساله، با انتشار پستی در مدیوم زمانبندی انجام پروژهی تحقیقاتی خود را بهصورت عمومی منتشر کرده است؛ پروژهای که کلمبو ادعا میکند در خلال آن توانسته دستورهای مختلفی روی خودروهای تسلا انجام دهد، از تنظیم حجم صدای استریوی خودرو و دستکاری درها گرفته تا دستکاری شیشهها و دسترسی به ابزار Keyless Driving تسلا. دیوید کلبمو احتمالاً میتوانسته این کارها را بدون اطلاع رانندهی خودرو از راه دور انجام دهد.
محقق ۱۹ سالهی آلمانی میگوید به دلیل وجود نقصی امنیتی در یک ابزار متنباز به نام تسلامِیت توانسته به خودروها دسترسی پیدا کند. ابزار موردبحث به دارندگان خودروهای تسلا امکان میدهد با بهرهگیری از API تسلا به دادههایی نظیر مصرف انرژی و تاریخچهی لوکیشن خودروها دسترسی داشته باشند و روی آنها نظارت کنند.
کلمبو میگوید توانسته شماری از کلیدهای API تسلا را تغییر کاربری دهد و از طریق آنها فرمانهای خود را اجرا کند. به گفتهی کلمبو، این APIها بهصورت رمزنگارینشده در تسلامیت ذخیره شده بودند.
دیوید کلمبو میگوید: «میشد فرمانهایی را اجرا کرد که مزاحمت بسیار زیادی برای مالک تسلا ایجاد کند. حتی امکان دزدیدن تسلا وجود داشت.» این نوشتهی کلمبو مربوط به بخشی از گزارش افشای مسئولانهی او است که برای تیم امنیتی تسلا ارسال کرد.
کلمبو میگوید توانسته در چند ساعت بیش از ۲۵ تسلا را در ۱۳ کشور پیدا کند. کشورهایی که خودروهای تسلا در آن مکانیابی شدهاند شامل آلمان، بلژیک، فنلاند، دانمارک، بریتانیا، ایالات متحده، کانادا، ایتالیا، ایرلند، فرانسه، اتریش و سوئیس میشود.
کلبمو در ادامهی گزارش خود مینویسد: «حداقل بیش از ۳۰ خودروی دیگر در چین پیدا کردم، اما واقعاً نمیخواستم با قوانین امنیت سایبری چین دربیفتم، به همین دلیل، هیچ کاری با آنها نداشتم.» کلمبو میگوید از آنجاکه تسلا بعداً «هزاران کلید» را باطل کرده، احتمال میرود مشکل امنیتی بسیار گستردهتر از حد تصور بوده باشد.
کلمبو توانست به بخشهای بسیار زیادی از قابلیتهای خودروهای تسلا دسترسی پیدا کند، بااینحال اعتقاد دارد که نمیتوانسته از راه دور خودرو را به حرکت دربیاورد یا فرمان و ترمز را دستکاری کند. کلمبو میگوید پس از یافتن مشکل امنیتی با تسلا و تسلامیت ارتباط برقرار کرده و بهروزرسانی برطرفکنندهی مشکل منتشر شده است. دیوید کلمبو در توییتی مینویسد که میتوانسته لوکیشن دقیق خودرو را پیدا کند و بفهمد که راننده در خودرو حضور دارد یا نه.
محقق آلمانی ۱۹ ساله میگوید نخستین بار در اکتبر ۲۰۲۱ (شهریور و مهر ۱۴۰۰) توانسته نقص امنیتی تسلامیت را در یک خودرو پیدا کند و سپس موفق به رؤیت این نقص امنیتی در ۲۰ خودروی دیگر در اوایل ماه جاری میلادی شده است. تصاویری که کلبمو در مقالهی خود منتشر کرده با دقتی ترسناک شامل تاریخچهی جابهجایی شماری از خودروهایی است که از این اتفاق متأثر شدهاند.
کلمبو همچنین تصاویر پیامهای متنی ردوبدلشده بین او و دارندهی یکی از خودروهای تسلا را منتشر کرده است. این پیامهای متنی نشان میدهند آن مالک تسلا به کلمبو اجازه داده از راه دور بوق خودرو را به صدا دربیاورد.
دیوید کلمبو جزئیات مربوط به نقص امنیتی دیگری را منتشر کرده که این بار به کلید دیجیتالی خودروهای تسلا مربوط میشود. این نقص امنیتی باعث شده کلمبو بتواند به آدرس ایمیل رانندههای تسلا دسترسی پیدا کند. کلمبو در تلاشی دلگرمکننده بهمنظور هشدار به رانندههایی که خودرویشان از نقص امنیتی تسلامیت متأثر شده بود، بهشکل تصادفی با نقصی امنیتی مواجه شد که به او امکان داد آدرس ایمیل رانندگان را پیدا کند.
در این مورد کلمبو بهطور مشخص در تلاش برای پیدا کردن آدرس ایمیل رانندهها بوده، بااینحال از لحاظ تئوری میتوان از این نقص نرمافزاری برای پیدا کردن ایمیل دیگر دارندگان خودروهای تسلا سوءاستفاده کرد. کلمبو مینویسد در ابتدا هیچ راهی برای پیدا کردن اطلاعات مربوط به مالکان تسلا نداشته اما اکنون حتی در صورتی که دسترسیاش باطل شده باشد میتواند آدرس ایمیل را پیدا کند.
کلمبو مدتی بعد از رسانهای کردن هک خودروهای تسلا، یافتههایش را در مصاحبهای با بلومبرگ در میان گذاشت و بهطور مشخص گفت نقص امنیتی را در یکی از APIهای مربوط به کلید دیجیتالی تسلا پیدا کرده؛ این محقق میگوید که فوراً تیم امنیتی تسلا را از نقص امنیتی ایمیل مطلع کرده و تسلا سریعاً بهروزرسانی جدیدی برای رفع مشکل امنیتی در دسترس قرار داده است.
No tags for this post.
