هک خودرو تسلا با استفاده از پهباد و دانگل WIFI

ماشین تسلا

یک تیم دو نفره محققین امنیتی نحوه هک شدن Tesla Model X، که منجر به باز شدن درب‌ها می‌شود، با استفاده از یک پهپاد DJI Mavic 2 مجهز به دانگل WIFI نشان داده‌اند. در این سناریو ناامیدکننده هکرها می‌توانند با استفاده از هواپیمای بدون سرنشین بر روی این مدل از Tesla پرواز کرده و درهای ماشین را باز کنند. محققان Kunnamon, Inc.’s Ralf-Philipp Weinmann و Comsecuris GmbH’s Benedikt Schmotzle نقض از راه دور zero-click را در خودرو کشف کرده و با استفاده از این پهپاد از آن بهره‌برداری کرده‌اند.

درگیری سایر شرکت‌های خودروسازی

کارشناسان توضیح داده‌اند که آنها برای به خطر انداختن خودروهای پارک شده و کنترل سیستم‌های آن، از آسیب‌پذیری‌های مربوط به کامپوننت نرم‌افزار متن‌باز ConnMan استفاده کرده‌اند. این دو محقق، این روش را TBONE نامیدند و آن را در کنفرانس CanSecWest 2021 ارائه کردند. Weinmann و Schmotzle توضیح دادند که از ConnMan همچنین به طور گسترده‌ای در سیستم‌های سرگرمی سایر خودروسازان استفاده می‌شود، به همین دلیل آنها CERT آلمان و سایر شرکت‌های فعال در حوزه خودروسازی را نیز درگیر کردند.


مدیرعامل شرکت Kunnamon، رالف-فلیپ وینمن می‌گوید: “با توجه به اینکه TBONE به تعامل کاربر برای تحویل پیلود به اتومبیل‌های پارک شده احتیاج ندارد، احساس‌مان این است که این حمله از نوع “wormable” است. وی افزود: “استفاده از اکسپلویت افزایش سطح دسترسی مانند CVE-2021-3347 در TBONE به ما امکان می‌دهد سیستم جدید Wi-Fi را در ماشین‌های تسلا دانلود کنیم و آن را به یک نقطه دسترسی کنیم که می‌تواند برای سواستفاده از سایر اتومبیل‌های تسلا استفاده شود. این دو محقق قصد داشتند این حمله را در مسابقه هک PWN2OWN 2020 ارائه دهند، اما از آنجا که به دلیل همه گیری COVID19 این مابقه به صورت آنلاین برگزار شد، آنها تصمیم گرفتند مسائل را به صورت خصوصی به خودروساز گزارش دهند.

با بررسی جزئیات مشخص شد که این آسیب‌پذیری‌ها می‌توانند توسط مهاجمان بصورت از راه دور مورد سواستفاده قرار بگیرند تا کنترل اتومبیل‌های پارک شده را از طریق سیستم سرگرمی و بواسطه WIFI بدست گیرند، سپس می‌توانند صندوق عقب و درها را قفل یا باز کنند، موقعیت‌های صندلی و حالت‌های فرمان را تغییر دهند و سیستم تهویه را از طریق تنظیمات دما تغییر دهند. خبر خوب این است که مهاجمان نمی‌توانند از این آسیب‌پذیری‌های برای کنترل از راه دور خودرو استفاده کنند.

تسلا توضیحی ارائه نداده است

البته این اولین بار نیست که هکرها، دسترسی به یک ماشین تسلا را نشان می‌دهند، در نوامبر 2020، تیمی از محققان گروه امنیت کامپیوتر و رمزنگاری صنعتی (COSIC) در دانشگاه KU Leuven در بلژیک نشان دادند که چگونه سرقت تسلا مدل X در یک دقیقه و با بهره‌برداری از نقاط ضعف در سیستم ورود بدون کلید به خودرو، امکان‌پذیر است. در ژوئیه 2019 نیز محقق امنیتی سام کوری پس از گزارش آسیب‌پذیری XSS که می‌توانست برای بدست آوردن اطلاعات خودرو و اصلاح آن مورد سواستفاده قرار گیرد، 10.000 دلار از تسلا جایزه دریافت کرد.

علاقمند به حوزه امنیت اطلاعات و آشنا به حوزه تست نفوذ
  • facebook
  • twitter
  • googleplus
  • linkedIn
  • flickr

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *