ಇದರಬಗ್ಗೆ ಮಾಹಿತಿ ಟೆಸ್ಲಾ ನೆಟ್ವರ್ಕ್ನಲ್ಲಿ ರಕ್ಷಣೆಯನ್ನು ಸಂಘಟಿಸುವಲ್ಲಿ, ಇದು ಗ್ರಾಹಕ ಕಾರುಗಳೊಂದಿಗೆ ಸಂವಹನ ನಡೆಸುವ ಮೂಲಸೌಕರ್ಯವನ್ನು ಸಂಪೂರ್ಣವಾಗಿ ರಾಜಿ ಮಾಡಿಕೊಳ್ಳಲು ಸಾಧ್ಯವಾಗಿಸಿತು. ನಿರ್ದಿಷ್ಟವಾಗಿ ಹೇಳುವುದಾದರೆ, ಗುರುತಿಸಲಾದ ಸಮಸ್ಯೆಗಳು ಕಾರುಗಳೊಂದಿಗೆ ಸಂವಹನ ಚಾನಲ್ ಅನ್ನು ನಿರ್ವಹಿಸುವ ಜವಾಬ್ದಾರಿಯುತ ಸರ್ವರ್ಗೆ ಪ್ರವೇಶವನ್ನು ಪಡೆಯಲು ಮತ್ತು ಮೊಬೈಲ್ ಅಪ್ಲಿಕೇಶನ್ ಮೂಲಕ ರವಾನಿಸಲಾದ ಆಜ್ಞೆಗಳನ್ನು ಕಳುಹಿಸಲು ಸಾಧ್ಯವಾಗಿಸಿತು.
ಪರಿಣಾಮವಾಗಿ, ದಾಳಿಕೋರರು ಟೆಸ್ಲಾ ಮೂಲಸೌಕರ್ಯದ ಮೂಲಕ ಯಾವುದೇ ಕಾರಿನ ಮಾಹಿತಿ ವ್ಯವಸ್ಥೆಗೆ ರೂಟ್ ಪ್ರವೇಶವನ್ನು ಪಡೆಯಲು ಅಥವಾ ದೂರದಿಂದಲೇ ಕಾರಿಗೆ ನಿಯಂತ್ರಣ ಆಜ್ಞೆಗಳನ್ನು ರವಾನಿಸಲು ನಿರ್ವಹಿಸುತ್ತಿದ್ದರು. ಇತರ ವಿಷಯಗಳ ಜೊತೆಗೆ, ಎಂಜಿನ್ ಅನ್ನು ಪ್ರಾರಂಭಿಸುವುದು ಮತ್ತು ಕಾರಿಗೆ ಬಾಗಿಲುಗಳನ್ನು ಅನ್ಲಾಕ್ ಮಾಡುವುದು ಮುಂತಾದ ಆಜ್ಞೆಗಳನ್ನು ಕಳುಹಿಸುವ ಸಾಮರ್ಥ್ಯವನ್ನು ಪ್ರದರ್ಶಿಸಲಾಯಿತು. ಪ್ರವೇಶವನ್ನು ಪಡೆಯಲು, ಬಲಿಪಶುವಿನ ಕಾರಿನ VIN ಸಂಖ್ಯೆಯ ಜ್ಞಾನವಷ್ಟೇ ಬೇಕಾಗಿತ್ತು.
ಈ ದುರ್ಬಲತೆಯನ್ನು 2017 ರ ಆರಂಭದಲ್ಲಿ ಭದ್ರತಾ ಸಂಶೋಧಕ ಜೇಸನ್ ಹ್ಯೂಸ್ ಕಂಡುಹಿಡಿದರು.
(), ಅವರು ತಕ್ಷಣವೇ ಸಮಸ್ಯೆಗಳ ಬಗ್ಗೆ ಟೆಸ್ಲಾರಿಗೆ ತಿಳಿಸಿದರು ಮತ್ತು ಘಟನೆಯ ಮೂರೂವರೆ ವರ್ಷಗಳ ನಂತರ ಅವರು ಕಂಡುಹಿಡಿದ ಮಾಹಿತಿಯನ್ನು ಸಾರ್ವಜನಿಕಗೊಳಿಸಿದರು. 2017 ರಲ್ಲಿ ಟೆಸ್ಲಾ ದುರ್ಬಲತೆಯ ಅಧಿಸೂಚನೆಯನ್ನು ಸ್ವೀಕರಿಸಿದ ಕೆಲವೇ ಗಂಟೆಗಳಲ್ಲಿ ಸಮಸ್ಯೆಗಳನ್ನು ಪರಿಹರಿಸಿದೆ ಎಂದು ಗಮನಿಸಲಾಗಿದೆ, ಅದರ ನಂತರ ಅದು ತನ್ನ ಮೂಲಸೌಕರ್ಯದ ರಕ್ಷಣೆಯನ್ನು ಆಮೂಲಾಗ್ರವಾಗಿ ಬಲಪಡಿಸಿತು. ದುರ್ಬಲತೆಯನ್ನು ಗುರುತಿಸಿದ್ದಕ್ಕಾಗಿ, ಸಂಶೋಧಕರಿಗೆ 50 ಸಾವಿರ US ಡಾಲರ್ಗಳ ಬಹುಮಾನವನ್ನು ನೀಡಲಾಯಿತು.
ಟೆಸ್ಲಾ ಮೂಲಸೌಕರ್ಯದಲ್ಲಿನ ಸಮಸ್ಯೆಗಳ ವಿಶ್ಲೇಷಣೆಯು ವೆಬ್ಸೈಟ್ನಿಂದ ಡೌನ್ಲೋಡ್ ಮಾಡಲು ನೀಡಲಾದ ಪರಿಕರಗಳ ವಿಭಜನೆಯೊಂದಿಗೆ ಪ್ರಾರಂಭವಾಯಿತು. . ವೆಬ್ಸೈಟ್ service.teslamotors.com ನಲ್ಲಿ ಖಾತೆಯನ್ನು ಹೊಂದಿರುವ ಟೆಸ್ಲಾ ಕಾರುಗಳ ಬಳಕೆದಾರರಿಗೆ ಡೆವಲಪರ್ಗಳಿಗಾಗಿ ಎಲ್ಲಾ ಮಾಡ್ಯೂಲ್ಗಳನ್ನು ಡೌನ್ಲೋಡ್ ಮಾಡಲು ಅವಕಾಶವನ್ನು ನೀಡಲಾಯಿತು. ಮಾಡ್ಯೂಲ್ಗಳನ್ನು ಸರಳವಾದ ರೀತಿಯಲ್ಲಿ ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಲಾಗಿದೆ ಮತ್ತು ಎನ್ಕ್ರಿಪ್ಶನ್ ಕೀಗಳನ್ನು ಅದೇ ಸರ್ವರ್ನಿಂದ ನೀಡಲಾಗಿದೆ.
ಪರಿಣಾಮವಾಗಿ ಮಾಡ್ಯೂಲ್ಗಳನ್ನು ಪೈಥಾನ್ ಕೋಡ್ಗೆ ಡಿಕಂಪೈಲ್ ಮಾಡಿದ ನಂತರ, ಕಂಪನಿಯ ಆಂತರಿಕ ನೆಟ್ವರ್ಕ್ನಲ್ಲಿರುವ ವಿವಿಧ ಟೆಸ್ಲಾ ಸೇವೆಗಳಿಗೆ ಎಂಬೆಡೆಡ್ ರುಜುವಾತುಗಳನ್ನು ಕೋಡ್ ಒಳಗೊಂಡಿದೆ ಎಂದು ಸಂಶೋಧಕರು ಕಂಡುಹಿಡಿದರು, ಅದನ್ನು VPN ಮೂಲಕ ಪ್ರವೇಶಿಸಲಾಯಿತು. ನಿರ್ದಿಷ್ಟವಾಗಿ, ಕೋಡ್ನಲ್ಲಿ ನಾವು ಆಂತರಿಕ ನೆಟ್ವರ್ಕ್ನಲ್ಲಿರುವ "dev.teslamotors.com" ಸಬ್ಡೊಮೇನ್ನಲ್ಲಿ ಹೋಸ್ಟ್ಗಳಲ್ಲಿ ಒಂದರ ಬಳಕೆದಾರರ ರುಜುವಾತುಗಳನ್ನು ಕಂಡುಹಿಡಿಯಲು ಸಾಧ್ಯವಾಯಿತು.
2019 ರವರೆಗೆ, ಟೆಸ್ಲಾ ಸೇವೆಗಳಿಗೆ ಕಾರುಗಳನ್ನು ಸಂಪರ್ಕಿಸಲು, OpenVPN ಪ್ಯಾಕೇಜ್ ಆಧಾರಿತ VPN ಅನ್ನು ಪ್ರತಿ ಕಾರಿಗೆ ರಚಿಸಲಾದ ಕೀಲಿಯನ್ನು ಬಳಸಿಕೊಂಡು (ನಂತರ ವೆಬ್ಸಾಕೆಟ್ ಆಧಾರಿತ ಅನುಷ್ಠಾನದಿಂದ ಬದಲಾಯಿಸಲಾಯಿತು) ಬಳಸಲಾಗುತ್ತಿತ್ತು. ಮೊಬೈಲ್ ಅಪ್ಲಿಕೇಶನ್ನ ಕಾರ್ಯಾಚರಣೆಯನ್ನು ಖಚಿತಪಡಿಸಿಕೊಳ್ಳಲು, ಬ್ಯಾಟರಿ ಚಾರ್ಜಿಂಗ್ ಸ್ಟೇಷನ್ಗಳ ಪಟ್ಟಿಯನ್ನು ಮತ್ತು ಇತರ ರೀತಿಯ ಸೇವೆಗಳನ್ನು ಪಡೆಯಲು VPN ಅನ್ನು ಬಳಸಲಾಗಿದೆ. ವಿಪಿಎನ್ ಮೂಲಕ ತನ್ನ ಕಾರನ್ನು ಸಂಪರ್ಕಿಸಿದ ನಂತರ ಪ್ರವೇಶಿಸಬಹುದಾದ ನೆಟ್ವರ್ಕ್ ಅನ್ನು ಸ್ಕ್ಯಾನ್ ಮಾಡಲು ಸಂಶೋಧಕರು ಪ್ರಯತ್ನಿಸಿದರು ಮತ್ತು ಗ್ರಾಹಕರಿಗೆ ಪ್ರವೇಶಿಸಬಹುದಾದ ಸಬ್ನೆಟ್ ಟೆಸ್ಲಾದ ಆಂತರಿಕ ನೆಟ್ವರ್ಕ್ನಿಂದ ಸಮರ್ಪಕವಾಗಿ ಪ್ರತ್ಯೇಕಿಸಲ್ಪಟ್ಟಿಲ್ಲ ಎಂದು ಕಂಡುಕೊಂಡರು. ಇತರ ವಿಷಯಗಳ ಜೊತೆಗೆ, dev.teslamotors.com ಉಪಡೊಮೇನ್ನಲ್ಲಿ ಹೋಸ್ಟ್ ಅನ್ನು ತಲುಪಬಹುದಾಗಿದೆ, ಇದಕ್ಕಾಗಿ ರುಜುವಾತುಗಳು ಕಂಡುಬಂದಿವೆ.
ರಾಜಿ ಮಾಡಿಕೊಂಡ ಸರ್ವರ್ ಕ್ಲಸ್ಟರ್ ಮ್ಯಾನೇಜ್ಮೆಂಟ್ ನೋಡ್ ಆಗಿ ಹೊರಹೊಮ್ಮಿತು ಮತ್ತು ಇತರ ಸರ್ವರ್ಗಳಿಗೆ ಅಪ್ಲಿಕೇಶನ್ಗಳನ್ನು ತಲುಪಿಸುವ ಜವಾಬ್ದಾರಿಯನ್ನು ಹೊಂದಿದೆ. ನಿರ್ದಿಷ್ಟಪಡಿಸಿದ ಹೋಸ್ಟ್ಗೆ ಲಾಗ್ ಇನ್ ಮಾಡಿದ ನಂತರ, ನಾವು ಗ್ರಾಹಕ ಕಾರುಗಳಿಗೆ ಆದೇಶಗಳನ್ನು ರವಾನಿಸಲು ಮತ್ತು ಫರ್ಮ್ವೇರ್ ಅನ್ನು ತಲುಪಿಸಲು ಜವಾಬ್ದಾರರಾಗಿರುವ mothership.vn ಮತ್ತು firmware.vn ಸೇರಿದಂತೆ ಆಂತರಿಕ ಟೆಸ್ಲಾ ಸೇವೆಗಳಿಗೆ ಮೂಲ ಕೋಡ್ನ ಭಾಗವನ್ನು ಪಡೆಯಲು ಸಾಧ್ಯವಾಯಿತು. PostgreSQL ಮತ್ತು MySQL DBMS ಅನ್ನು ಪ್ರವೇಶಿಸಲು ಪಾಸ್ವರ್ಡ್ಗಳು ಮತ್ತು ಲಾಗಿನ್ಗಳು ಸರ್ವರ್ನಲ್ಲಿ ಕಂಡುಬಂದಿವೆ. ದಾರಿಯುದ್ದಕ್ಕೂ, ಮಾಡ್ಯೂಲ್ಗಳಲ್ಲಿ ಕಂಡುಬರುವ ರುಜುವಾತುಗಳಿಲ್ಲದೆ ಹೆಚ್ಚಿನ ಘಟಕಗಳಿಗೆ ಪ್ರವೇಶವನ್ನು ಪಡೆಯಬಹುದು; ಕ್ಲೈಂಟ್ಗಳಿಗೆ ಪ್ರವೇಶಿಸಬಹುದಾದ ಸಬ್ನೆಟ್ನಿಂದ ವೆಬ್ API ಗೆ HTTP ವಿನಂತಿಯನ್ನು ಕಳುಹಿಸಲು ಸಾಕು ಎಂದು ಅದು ಬದಲಾಯಿತು.
ಇತರ ವಿಷಯಗಳ ಜೊತೆಗೆ, ಸರ್ವರ್ನಲ್ಲಿ ಮಾಡ್ಯೂಲ್ ಕಂಡುಬಂದಿದೆ, ಅದರೊಳಗೆ ಅಭಿವೃದ್ಧಿ ಪ್ರಕ್ರಿಯೆಯಲ್ಲಿ ಬಳಸಲಾದ VPN ಕೀಗಳೊಂದಿಗೆ good.dev-test.carkeys.tar ಫೈಲ್ ಇತ್ತು. ನಿರ್ದಿಷ್ಟಪಡಿಸಿದ ಕೀಗಳು ಕಾರ್ಯನಿರ್ವಹಿಸುತ್ತಿವೆ ಮತ್ತು vpn.dev.teslamotors.com ಕಂಪನಿಯ ಆಂತರಿಕ VPN ಗೆ ಸಂಪರ್ಕಿಸಲು ನಮಗೆ ಅವಕಾಶ ಮಾಡಿಕೊಟ್ಟಿತು.
ಮದರ್ಶಿಪ್ ಸೇವಾ ಕೋಡ್ ಸರ್ವರ್ನಲ್ಲಿಯೂ ಕಂಡುಬಂದಿದೆ, ಇದರ ಅಧ್ಯಯನವು ಅನೇಕ ನಿರ್ವಹಣಾ ಸೇವೆಗಳಿಗೆ ಸಂಪರ್ಕ ಬಿಂದುಗಳನ್ನು ನಿರ್ಧರಿಸಲು ಸಾಧ್ಯವಾಗಿಸಿತು. ಡೆವಲಪರ್ಗಳಿಗಾಗಿ ಕಂಡುಬರುವ VPN ಕೀಗಳನ್ನು ಬಳಸಿಕೊಂಡು ಸಂಪರ್ಕಗೊಂಡಿದ್ದರೆ, ಈ ನಿರ್ವಹಣಾ ಸೇವೆಗಳಲ್ಲಿ ಹೆಚ್ಚಿನವು ಯಾವುದೇ ಕಾರಿನಲ್ಲಿ ಲಭ್ಯವಿದೆ ಎಂದು ಕಂಡುಬಂದಿದೆ. ಸೇವೆಗಳ ಕುಶಲತೆಯ ಮೂಲಕ, ಯಾವುದೇ ಕಾರಿಗೆ ಪ್ರತಿದಿನ ನವೀಕರಿಸಿದ ಪ್ರವೇಶ ಕೀಗಳನ್ನು ಹೊರತೆಗೆಯಲು ಸಾಧ್ಯವಾಯಿತು, ಹಾಗೆಯೇ ಯಾವುದೇ ಕ್ಲೈಂಟ್ನ ರುಜುವಾತುಗಳ ನಕಲುಗಳು.
ನಿರ್ದಿಷ್ಟಪಡಿಸಿದ ಮಾಹಿತಿಯು VPN ಮೂಲಕ ಸಂಪರ್ಕವನ್ನು ಸ್ಥಾಪಿಸಿದ ಯಾವುದೇ ಕಾರಿನ IP ವಿಳಾಸವನ್ನು ನಿರ್ಧರಿಸಲು ಸಾಧ್ಯವಾಗಿಸಿತು. vpn.dev.teslamotors.com ಸಬ್ನೆಟ್ ಅನ್ನು ಫೈರ್ವಾಲ್ನಿಂದ ಸರಿಯಾಗಿ ಬೇರ್ಪಡಿಸಲಾಗಿಲ್ಲವಾದ್ದರಿಂದ, ಸರಳವಾದ ರೂಟಿಂಗ್ ಮ್ಯಾನಿಪ್ಯುಲೇಷನ್ಗಳ ಮೂಲಕ ಕ್ಲೈಂಟ್ನ IP ಅನ್ನು ತಲುಪಲು ಮತ್ತು ಕ್ಲೈಂಟ್ನ ಹಿಂದೆ ಪಡೆದ ರುಜುವಾತುಗಳನ್ನು ಬಳಸಿಕೊಂಡು ರೂಟ್ ಹಕ್ಕುಗಳೊಂದಿಗೆ SSH ಮೂಲಕ ಅವನ ಕಾರಿಗೆ ಸಂಪರ್ಕಿಸಲು ಸಾಧ್ಯವಾಯಿತು.
ಹೆಚ್ಚುವರಿಯಾಗಿ, ಆಂತರಿಕ ನೆಟ್ವರ್ಕ್ಗೆ VPN ಸಂಪರ್ಕಕ್ಕಾಗಿ ಪಡೆದ ನಿಯತಾಂಕಗಳು ವೆಬ್ API mothership.vn.teslamotors.com ಮೂಲಕ ಯಾವುದೇ ಕಾರುಗಳಿಗೆ ವಿನಂತಿಗಳನ್ನು ಕಳುಹಿಸಲು ಸಾಧ್ಯವಾಗಿಸಿತು, ಇವುಗಳನ್ನು ಹೆಚ್ಚುವರಿ ದೃಢೀಕರಣವಿಲ್ಲದೆ ಸ್ವೀಕರಿಸಲಾಗಿದೆ. ಉದಾಹರಣೆಗೆ, ಪರೀಕ್ಷೆಗಳ ಸಮಯದಲ್ಲಿ ಕಾರಿನ ಪ್ರಸ್ತುತ ಸ್ಥಳದ ನಿರ್ಣಯವನ್ನು ಪ್ರದರ್ಶಿಸಲು ಸಾಧ್ಯವಾಯಿತು, ಬಾಗಿಲುಗಳನ್ನು ಅನ್ಲಾಕ್ ಮಾಡಿ ಮತ್ತು ಎಂಜಿನ್ ಅನ್ನು ಪ್ರಾರಂಭಿಸಿ. ದಾಳಿಯ ಗುರಿಯನ್ನು ಆಯ್ಕೆ ಮಾಡಲು ವಾಹನದ VIN ಸಂಖ್ಯೆಯನ್ನು ಗುರುತಿಸುವಿಕೆಯಾಗಿ ಬಳಸಲಾಗುತ್ತದೆ.
ಮೂಲ: opennet.ru