መረጃ በ Tesla አውታረመረብ ውስጥ ጥበቃን በማደራጀት ከሸማች መኪናዎች ጋር መስተጋብር የሚፈጥሩ መሠረተ ልማቶችን ሙሉ በሙሉ ለማበላሸት አስችሏል. በተለይም ተለይተው የታወቁት ችግሮች ከመኪናዎች ጋር የግንኙነት ቻናል እና በሞባይል አፕሊኬሽን የሚተላለፉ ትዕዛዞችን የመላክ ኃላፊነት ያለው አገልጋይ ማግኘት ተችሏል ።
በዚህ ምክንያት አጥቂው በቴስላ መሠረተ ልማት በኩል የማንኛውም መኪና የመረጃ ስርዓት ስርወ መዳረሻ ማግኘት ወይም የመቆጣጠሪያ ትዕዛዞችን በርቀት ወደ መኪናው ማስተላለፍ ችሏል። ከሌሎች ነገሮች በተጨማሪ ሞተሩን ማስነሳት እና የመኪናውን በሮች መክፈትን የመሳሰሉ ትዕዛዞችን የመላክ ችሎታ ታይቷል. መዳረሻ ለማግኘት፣ የሚያስፈልገው የተጎጂውን መኪና VIN ቁጥር ማወቅ ብቻ ነበር።
ተጋላጭነቱ በ2017 መጀመሪያ ላይ በደህንነት ተመራማሪው ጄሰን ሂዩዝ ተለይቷል።
(), ስለችግሮቹ ወዲያውኑ ለቴስላ ያሳወቀው እና አደጋው ከተከሰተ ከሶስት ዓመት ተኩል በኋላ ያገኘውን መረጃ ይፋ አድርጓል. እ.ኤ.አ. በ 2017 ቴስላ የተጋላጭነት ማስታወቂያ ከደረሰው በኋላ በሰዓታት ውስጥ ችግሮቹን እንዳስተካከለ እና ከዚያ በኋላ የመሠረተ ልማት አውታሮችን ጥበቃ በከፍተኛ ደረጃ አጠናክሯል ። ተጋላጭነቱን ለመለየት ተመራማሪው የ50 ሺህ የአሜሪካ ዶላር ሽልማት ተሰጥቷቸዋል።
በ Tesla መሠረተ ልማት ላይ ያሉ ችግሮች ትንተና የተጀመረው ከድረ-ገጹ ላይ ለማውረድ የቀረቡትን መሳሪያዎች በማሟሟት ነው . በድረ-ገጽ service.teslamators.com ላይ መለያ ያላቸው የቴስላ መኪና ተጠቃሚዎች ሁሉንም ሞጁሎች ለገንቢዎች እንዲያወርዱ እድል ተሰጥቷቸዋል። ሞጁሎቹ በጣም ቀላል በሆነ መንገድ የተመሰጠሩ ናቸው, እና የምስጠራ ቁልፎቹ በተመሳሳይ አገልጋይ ተሰጥተዋል.
የተገኙትን ሞጁሎች ወደ Python ኮድ ካሰባሰቡ በኋላ፣ ተመራማሪው ኮዱ በኩባንያው ውስጣዊ አውታረመረብ ላይ ለሚገኙ ለተለያዩ የቴስላ አገልግሎቶች የተካተቱ የምስክር ወረቀቶች በቪፒኤን በኩል እንደሚገኙ አረጋግጠዋል። በተለይም በኮዱ ውስጥ በውስጣዊ አውታረመረብ ላይ በሚገኘው "dev.teslamotors.com" ንዑስ ጎራ ውስጥ የአንዱን አስተናጋጅ የተጠቃሚ ምስክርነቶችን ማግኘት ችለናል።
እስከ 2019 ድረስ መኪናዎችን ከቴስላ አገልግሎቶች ጋር ለማገናኘት በOpenVPN ጥቅል ላይ የተመሰረተ ቪፒኤን (በኋላ በዌብሶኬት ላይ የተመሰረተ ትግበራ ተተካ) ለእያንዳንዱ መኪና የመነጨ ቁልፍ ተጠቅሟል። ቪፒኤን የሞባይል መተግበሪያን አሠራር ለማረጋገጥ፣ የባትሪ መሙያ ጣቢያዎችን ዝርዝር ለማግኘት እና ሌሎች ተመሳሳይ አገልግሎቶችን ለማግኘት ጥቅም ላይ ውሏል። ተመራማሪው መኪናቸውን በቪፒኤን ካገናኙ በኋላ ተደራሽ የሆነውን አውታረመረብ ለመቃኘት ሞክረዋል እና ለደንበኞች ተደራሽ የሆነው ሳብኔት ከቴስላ የውስጥ አውታረ መረብ በበቂ ሁኔታ ያልተገለለ መሆኑን አረጋግጠዋል። ከሌሎች ነገሮች በተጨማሪ፣ በdev.teslamators.com ንዑስ ጎራ ውስጥ ያለ አስተናጋጅ ሊደረስበት የሚችል ነበር፣ ለዚህም ማረጋገጫዎች ተገኝተዋል።
የተጠለፈው አገልጋይ የክላስተር አስተዳደር መስቀለኛ መንገድ ሆኖ ተገኝቷል እና መተግበሪያዎችን ለሌሎች አገልጋዮች የማድረስ ኃላፊነት ነበረው። ወደተገለጸው አስተናጋጅ እንደገባን፣ ለደንበኛ መኪናዎች ትዕዛዞችን ለማስተላለፍ እና ፈርምዌርን የማድረስ ኃላፊነት ያላቸውን mothership.vn እና firmware.vnን ጨምሮ ለውስጣዊ Tesla አገልግሎቶች የምንጭ ኮድ ከፊሉን ማግኘት ችለናል። PostgreSQL እና MySQL DBMS ለማግኘት የይለፍ ቃሎች እና መግቢያዎች በአገልጋዩ ላይም ተገኝተዋል። እግረመንገዴን፣ ለአብዛኞቹ ክፍሎቹ መዳረሻ በሞጁሎች ውስጥ ከሚገኙት ምስክርነቶች ውጭ ሊገኝ እንደሚችል ተረጋግጧል፣ ለደንበኞች ተደራሽ ከሆነው ሳብኔት የኤችቲቲፒ ጥያቄን ወደ ዌብ ኤፒአይ ለመላክ በቂ ሆኖ ተገኝቷል።
ከሌሎች ነገሮች በተጨማሪ አንድ ሞጁል በአገልጋዩ ላይ ተገኝቷል ፣ በውስጡም ጥሩ.dev-test.carkeys.tar በልማት ሂደት ውስጥ ጥቅም ላይ የሚውሉ የቪፒኤን ቁልፎች ያለው ፋይል አለ። የተገለጹት ቁልፎች እየሰሩ መሆናቸው ከኩባንያው vpn.dev.teslamotors.com ውስጣዊ ቪፒኤን ጋር እንድንገናኝ አስችሎናል።
የእናትነት አገልግሎት ኮድም በአገልጋዩ ላይ ተገኝቷል, ጥናቱ ከብዙ የአስተዳደር አገልግሎቶች ጋር የግንኙነት ነጥቦችን ለመወሰን አስችሏል. የተገኙትን የቪፒኤን ቁልፎች ለገንቢዎች በመጠቀም ከተገናኙ አብዛኛዎቹ እነዚህ የአስተዳደር አገልግሎቶች በማንኛውም መኪና ላይ እንደሚገኙ ታወቀ። አገልግሎቶቹን በማጭበርበር ለማንኛውም መኪና በየቀኑ የሚዘመኑ የመዳረሻ ቁልፎችን እንዲሁም የማንኛውም ደንበኛን የምስክር ወረቀት ቅጂ ማውጣት ተችሏል።
የተገለጸው መረጃ የማንኛውም መኪና ግንኙነት በ VPN በኩል የተፈጠረበትን የአይ ፒ አድራሻ ለማወቅ አስችሎታል። የvpn.dev.teslamators.com ሳብኔት በፋየርዎል በትክክል ስላልተለየ፣በቀላል የማዘዋወር ዘዴዎች የደንበኛውን አይፒ መድረስ እና ከመኪናው ጋር በSSH በኩል ከስር መብቶች ጋር መገናኘት ተችሏል፣የደንበኛው ቀደም ሲል ያገኘውን ምስክርነቶች።
በተጨማሪም፣ የቪፒኤን ከውስጥ አውታረመረብ ጋር ለማገናኘት የተገኙት መለኪያዎች በዌብ ኤፒአይ mothership.vn.teslamotors.com በኩል ወደ ማናቸውም መኪናዎች ጥያቄዎችን ለመላክ አስችለዋል፣ ይህም ያለ ተጨማሪ ማረጋገጫ ተቀባይነት አግኝቷል። ለምሳሌ, በፈተናዎች ወቅት የመኪናውን ወቅታዊ ቦታ መወሰን, በሮችን መክፈት እና ሞተሩን ማስነሳት ተችሏል. የተሽከርካሪው ቪኤን ቁጥር የጥቃት ኢላማን ለመምረጥ እንደ መለያ ጥቅም ላይ ይውላል።
ምንጭ: opennet.ru