1月11日，一位來自德國的19歲年輕黑客突然發推表示，自己成功地控制了10個國家的20多輛特斯拉的。

隨后，這個數字很快就增加到了13個國家和超過25輛特斯拉。

簡而言之，他能遠程讓被黑掉的特斯拉汽車執行：

• 解鎖車門
• 打開車窗
• 啟動無鑰匙駕駛
• 分享視頻到特斯拉
• 調整空調模式和溫度
• 控制喇叭和燈光

David Colombo表示，雖然沒有取得任何轉向、加速、剎車和其他駕駛動作的權限，不過理論上可以通過漏洞開啟召喚模式讓車輛自動移動。

最近，他在個人博客上公布了自己如何做到的技術操作流程、前因后果。

不如我們先來看看那些被「黑」了的特斯拉們都到過哪里。

一輛特斯拉Model Y在加州

一輛特斯拉在歐洲

一輛特斯拉Model 3在比利時（大部分時間）

一輛特斯拉Model 3在英國（數過倫敦而不入）

一輛特斯拉Model Y在佛羅里達州

一輛特斯拉Model Y在加拿大的基奇納及周邊地區

Colombo在幾個小時內就找到了來自13個國家的25輛以上的特斯拉。包括德國、比利時、芬蘭、丹麥、英國、美國、加拿大、意大利、愛爾蘭、法國、奧地利和瑞士。

還有大約至少30多個來自中國，不過Colombo非常謹慎，并沒有對這些車下手。

漏洞如何被發現

事情的起因要從去年說起，Colombo正準備與一家來自巴黎的SaaS公司客戶，討論安全審計的問題。

然后，他的好奇心就被激發了。

在正式見面之前，他想偷偷看一下這家公司的基礎設施，比如獲得一些關于他們使用什么服務和平臺的基本信息。

Colombo想著，如果很快能找到一些過時的軟件或暴露的備份數據庫，就可以在會議上向他們展示了。

在做一些基本的子域列舉時，他發現了一個「backup.redacted.com」域名。

但除了一個普通的「this works」頁面外，沒有任何東西在運行。

在進行了一個非常簡單的nmap掃描之后產生了一些結果，但只是發現了remoteanything和一些「游戲服務器」端口。

事情似乎有些奇怪。

Colombo嘗試通過telnet連接，但沒有成功。

不過，當通過瀏覽器訪問時，就會發現這些端口竟然指向了——TeslaMate。

現在看起來，就有趣多了。

然而，嘗試訪問Dashboard時，只給了一個錯誤，并沒有成功。

但是，好奇心再一次發揮了作用。

TeslaMate是特斯拉的一個自我托管的數據記錄器，而且它是開源的。

理論上，它只用于提取數據和存儲以及顯示，并不能運行任何命令，比如使用TeslaMate解鎖車門。

通過查看Docker文件，Colombo發現它還帶來了一個Grafana的安裝。

端口5555，訪問了一下試試？

果然成了。

進入之后Colombo看到了大量的數據，包括特斯拉途徑的路線、曾充電位置、目前的位置、慣常停車位置、車輛行進時段、出行的速度、導航請求、軟件更新的歷史，甚至特斯拉汽車周圍的天氣歷史等等。

這真是......不妙啊。

Colombo表示，顯然自己不應該從這個端口知道，這家SaaS公司的CTO去年去哪里度假了。

那么，如果TeslaMate能夠提取所有的車輛數據，它可能也有辦法向特斯拉發送命令？

在產生這種想法之后，Colombo花了點時間閱讀TeslaMate的源代碼，以便弄清楚認證是如何進行的、特斯拉的證書如何在應用程序中流動、以及它在哪里存儲用戶的API密鑰。

結果有些出乎意料，TeslaMate將API密鑰保存在了和所有其他數據相同的位置，既沒有單獨存儲，也沒有加密。

那么，如果Grafana可以訪問車輛數據，而API密鑰存儲在車輛數據一邊，Grafana可以讀取和輸出API密鑰嗎？

用Grafana Explore來運行自定義查詢試試？但這需要認證，真是無奈。

不過，有沒有聽說過這個遙遠的網絡安全問題叫做「默認密碼」？

是的，TeslaMate Docker的Grafana安裝時帶有默認憑證。

也有可能在沒有通過Grafana端登錄的情況下，以未經授權的匿名用戶身份查詢token。

試著用admin:admin登錄，果然成功了。

為Grafana(Explore)建立一個查詢字符串，并查詢API token，這之后就沒有什么神奇了。

所以說，軟件用默認值初始化的默認值是為了讓管理員方便去更改的，實際上并不安全。

開發者通常選擇默認值，讓軟件在開箱后盡可能地開放和易于使用。然而，當默認值不安全而管理員不改變它時，這種便利是有代價的。

獲得對世界各地的隨機特斯拉的訪問的過程：

• 在互聯網上搜索TeslaMate實例
• 確保它們以不安全的默認Docker配置運行
• 轉到3000端口，訪問Grafana Dashboard
• 使用默認憑證登錄（當然，只有在明確授權的情況下才可以這樣做）
• 轉到資源管理器標簽
• 使用查詢生成器來提取API并刷新token
• 愉快地玩特斯拉吧

除了登錄之外，在漏洞的加持下，即便是車主改變了管理密碼，依然可以通過Grafana的API端點，以未經授權的匿名Grafana用戶身份對TeslaMate數據源運行任意請求。

不過這只影響到TeslaMate docker，而且現在補丁也已經發布了，也就是1.25.1版本。

那么，如果發現了這樣的漏洞，該怎么做？

你應該將漏洞報告給負責的團隊。

如果找不到又該怎么辦呢？

那就發條推特吧~

拋開玩笑話不談，Colombo表示，自己發那條推特只是因為很沮喪。

花了一整天尋找后，只能聯系到兩位特斯拉車主并且告知他們。

另外，對于這條推文可能引起的所有混亂和猜測，Colombo深表歉意。

然后……這條推特就火了。

為了尊重受影響的特斯拉車主的隱私，根據他的要求刪掉了車主身份信息。在這篇文章中，受影響的特斯拉的名字更改為「藍色巨人」。

多虧了這條推文，Colombo找到了另一位來自愛爾蘭的特斯拉車主。

然而，車主多次重置特斯拉帳戶密碼后，也沒能撤銷API token。

好在經過了4小時的不懈努力，終于通過一個未被記錄的API端點撤銷了密鑰。

聯系特斯拉

當Colombo發現沒有合法的途徑找到其他受影響的車主之后，便和特斯拉產品安全團隊取得了聯系。（推特上有網友「支招」，在特斯拉汽車屏幕上放「你被黑了」的視頻）

特斯拉表示他們正在調查這個問題，然后在不久之后就撤銷了所有受影響的和遺留的token。

據特斯拉安全團隊稱，截至2022年1月13日，所有被影響的用戶應該都收到了電子郵件通知。

所以如果特斯拉車主曾經安裝過TeslaMate，就去檢查一下你的郵箱。

然而，特斯拉安全團隊第二次撤銷token后，一些特斯拉訪問token仍然公開在互聯網上，可能是因為用戶又登錄了易受攻擊的TeslaMate.

因此，Colombo寫了一個Python腳本來自動從易受攻擊的實例中撤銷暴露的訪問token。

壞消息是，第3版token好像沒有辦法撤銷。

發布漏洞

鑒于有相當多的特斯拉車主受到影響，所以Colombo申請獲得該漏洞的CVE編號。

CVE-2022–23126 描述：

「TeslaMate 1.25.1 之前的默認 Docker 配置允許攻擊者獲取受害者生成的token，從而使他們能夠通過 Tesla 的 API 執行未經授權的操作，例如控制車輛的某些關鍵功能或泄露敏感信息。」

需要理解的是，這是一個開源項目，隨著時間的推移而發展，這樣的事情是有可能會發生。

在此，Colombo也給出了一些建議：

就是別把重要物件連上互聯網。這很簡單。

如果你必須把一些東西聯網，一定確保它是被修改到安全設置程度，而不是用默認設置裸奔，默認設置可能會不安全。

完整的時間線

以下是David Colombo記錄的事件時間線，所有時間都是歐洲中部時間：

2021–10–29：第一次聽說這件事（發現了第一個被影響的第三方案例）

2021–10–29：聯系車主

2021–11–01：記錄下案例

2022–01–09：全網搜索被影響的第三方案例

2022–01–10：發現在12個國家中有超過20例

2022–01–10：試圖找到車主的身份信息

2022–01–10：我把這件事匯報給兩個我能找到的特斯拉車主

2022–01–10：我發了條推特，因為我不能確認更多的特斯拉車主

2022–01–10：這條推特火了

2022-01-10：已知的案例增加到了13個國家中超過25例

2022-01-10：我和知名網絡安全專家John Jackson交流，他推薦我去搞一個CVE-ID，如此一來這件事就可以更有效的被處理了

2022-01-11：去MITRE申請一個CVE-ID，并提供了一些初步信息

2022-01-11：準備了一份詳細的記錄，描述整個情況

2022-01-11：聯系了特斯拉生產安全組，讓他們盡快告知被影響的車主

2022-01-11：聯系了第三方的維修人員，讓他們盡快準備一個補丁

2022-01-11：和特斯拉生產安全組共享有關被影響的車主的更多信息

2022-01-11：MITRE批準了我的CVE-ID申請。CVE-2022–23126待定

2022-01-11：特斯拉生產安全組表示他們正在調查這些案例

2022-01-12：第三方的維護人員發布了1.25.1版本，其中有一個部分補丁

2022-01-12：特斯拉在協調世界時6:30，歐州中部時間7:30，召回了數千個潛在被影響的API token

2022-01-12：特斯拉強制一些被影響的用戶重置他們的密碼

2022-01-12：等待特斯拉生產安全組的進一步回復

2022-01-12：和第三方維護人員一同開發更多潛在的補丁（加密關鍵訪問token）

2022-01-13：特斯拉生產安全組表示他們召回了所有受影響的API token，并且通過郵件和推送的通知告知了所有被影響的特斯拉車主

2022-01-13：有些之前受過影響的特斯拉車主還在受影響

2022-01-18：再一次和特斯拉交涉，等待特斯拉生產安全組的進一步通知

2022-01-19：特斯拉召回了另一批訪問token

2022-01-10：發現了另一處漏洞，并且做了匯報，這次的漏洞直接影響了特斯拉的API

2022-01-22：特斯拉承認了該處新增漏洞，并且在生產中進行了補救

2022-01-24：公開發表這篇記錄

何許人也？

按David Colombo的自述，他現年19歲，家住德國巴伐利亞州，離慕尼黑車程兩小時的地方。

Colombo自稱10歲開始寫碼，從此扎進網絡安全的世界里。15歲實際輟學，形式上是向德國商務部申請了每周只有2天去學校點卯的特殊許可。

實際上學校也不太愿意管他，畢竟他真上學時，學校的信息大屏幕經常無故黑屏故障。

David Colombo現在是個工具現代但形式古典的小作坊主：開了家「Colombo科技」的一人作坊式公司、自學編程手藝、自己招攬白帽黑客業務。

顧客包括從紅牛公司到美國國防部的各種需要驗證網絡安全的機構實體。