行业新闻与博客

一名安全研究人员称赞电动跑车制造商特斯拉对他发现的基于 Web 的拒绝服务（DoS）攻击的迅速反应。

Jacob Archuleta'Nullze' 在研究了 Tesla Model 3 的 Web 界面后发现了 DoS 漏洞（CVE-2020-10558）。

经过一番尝试后的错误，他发现攻击者诱使驱动程序访问经特殊设计的网页后，有可能使基于 Chromium 的界面崩溃。

不正确的流程分离使恶意网页有可能在 Tesla 3 的主屏幕上禁用速度计，Web 浏览器，气候控制，转向信号，导航，自动驾驶仪通知和其他功能。

受先前研究驱动

攻击途径受到 Flouroacetate 团队的启发，该团队二人去年在 Pwn2Own 竞赛中在 Tesla Model 3 的浏览器中发现了即时（JIT）错误。

理查德·朱（Richard Zhu）和阿马特·卡玛（Amat Cama）利用此漏洞在 Tes​​la 3 的信息娱乐系统上显示了自己的消息，而阿库莱塔的黑客彻底破坏了界面。

两种骇客行为均不构成人身安全风险。例如，由 Archuleta 发现的漏洞利用不会抑制驾驶员手动接管系统的能力。

自动更新

在通过 Bugcrowd 托管的特斯拉漏洞赏金计划报告了 DoS 漏洞之后，Arculeta 与汽车制造商的安全团队合作，解决了该问题。

特斯拉 Model 3 车辆的驾驶界面中的安全漏洞已在软件版本 2020.4.10 及更高版本中得到解决。

Daily Swig 知道此更新是自动应用的，但是特斯拉尚未响应确认这一点的请求。

Archuleta 整理了自己的黑客记录，并附有演示视频。

在回答《每日新闻》的问题时，研究人员说他正在探索汽车黑客领域。

“我通过 Bugcrowd 从特斯拉那里赚了一些钱，”阿库莱塔解释说。“我正在尝试对此进行更多了解，但是现在我不会认为自己是该领域的专家。”

他补充说：“在 @samykamkar 的 [ Samy Kamkar 的 ] 著作的启发下，我还利用 HackRF 对攻击进行了一些 RF 研究，”

本文由机器译制