fampahalalana momba ny amin'ny fikarakarana fiarovana ao amin'ny tambajotra Tesla, izay nahafahana nandefitra tanteraka ny fotodrafitrasa mifandray amin'ny fiara mpanjifa. Indrindra indrindra, ireo olana fantatra dia nahatonga ny fidirana amin'ny mpizara tompon'andraikitra amin'ny fikojakojana ny fantsom-pifandraisana miaraka amin'ny fiara sy ny fandefasana baiko alefa amin'ny alΓ lan'ny fampiharana finday.
Vokatr'izany, ny mpanafika dia nahavita nahazo fidirana amin'ny rafitra fampahalalam-baovao amin'ny fiara rehetra amin'ny alΓ lan'ny fotodrafitrasa Tesla na mandefa ny baiko fanaraha-maso amin'ny fiara. Anisanβny naseho ny fahaizana mandefa baiko toy ny fanombohana ny motera sy ny famohana ny varavaranβny fiara. Mba hahazoana fidirana, ny hany takiana dia ny fahalalana ny laharan'ny VIN ny fiaran'ilay niharam-boina.
Ny vulnerability dia fantatra tamin'ny fiandohan'ny taona 2017 nataon'ny mpikaroka momba ny fiarovana Jason Hughes
(), izay nampahafantatra avy hatrany an'i Tesla momba ireo olana ary nampahafantatra ampahibemaso ny vaovao hitany afa-tsy telo taona sy tapany taorian'ny zava-nitranga. Marihina fa ny Tesla tamin'ny taona 2017 dia nanamboatra ireo olana tao anatin'ny ora maro taorian'ny nahazoany fampandrenesana momba ny vulnerability, ary avy eo dia nanamafy tanteraka ny fiarovana ny fotodrafitrasa. Mba hamantarana ny fahalemena dia nahazo valisoa 50 arivo dolara amerikana ilay mpikaroka.
Ny famakafakana ny olana amin'ny fotodrafitrasa Tesla dia nanomboka tamin'ny famongorana ireo fitaovana atolotra ho an'ny fampidinana amin'ny tranokala . Ireo mpampiasa fiara Tesla manana kaonty ao amin'ny tranokala service.teslamotors.com dia nomena fahafahana misintona ny maody rehetra ho an'ny mpamorona. Ny maody dia nofonosina tamin'ny fomba tsotra indrindra, ary ny fanalahidin'ny encryption dia nomen'ny mpizara iray ihany.
Rehefa avy nanangona ireo maodely vokatr'izany tao amin'ny kaody Python, ny mpikaroka dia nahita fa ny kaody dia misy mari-pamantarana napetraka ho an'ny serivisy Tesla isan-karazany hita ao amin'ny tambajotra anatiny ao amin'ny orinasa, izay nidirana tamin'ny VPN. Indrindra indrindra, tao amin'ny kaody dia afaka nahita ny fahazoan-dΓ lana mpampiasa ny iray amin'ireo mpampiantrano ao amin'ny subdomain "dev.teslamotors.com" hita ao amin'ny tambajotra anatiny.
Mandra-pahatongan'ny taona 2019, mba hampifandray ny fiara amin'ny serivisy Tesla, VPN miorina amin'ny fonosana OpenVPN dia nampiasaina (nosoloina fampiharana mifototra amin'ny websocket taty aoriana) tamin'ny fampiasana fanalahidy iray novokarina ho an'ny fiara tsirairay. VPN dia nampiasaina mba hiantohana ny fampandehanana fampiharana finday, hahazoana lisitry ny toby fiampangana bateria, ary serivisy mitovy amin'izany. Ny mpikaroka dia nanandrana nijery ny tambajotra azo idirana rehefa avy nampifandray ny fiarany tamin'ny VPN ary nahita fa ny subnet azon'ny mpanjifa dia tsy mitoka-monina tsara amin'ny tambajotra anatiny Tesla. Anisan'ny zavatra hafa, azo tratrarina ny mpampiantrano iray ao amin'ny subdomain dev.teslamotors.com, izay nahitana ny fahazoan-dΓ lana.
Nivadika ho node fitantanana cluster ilay mpizara voakitika ary tompon'andraikitra amin'ny fandefasana rindranasa amin'ireo mpizara hafa. Rehefa niditra tao amin'ny mpampiantrano voatondro izahay dia afaka nahazo ampahany amin'ny kaody loharano ho an'ny serivisy Tesla anatiny, anisan'izany ny mothership.vn sy firmware.vn, izay tompon'andraikitra amin'ny fandefasana baiko amin'ny fiara mpanjifa sy ny fandefasana firmware. Hita tao amin'ny server ihany koa ny tenimiafina sy ny fidirana amin'ny fidirana amin'ny PostgreSQL sy MySQL DBMS. Teny an-dalana dia hita fa ny fidirana amin'ny ankamaroan'ny singa dia azo alaina raha tsy misy ny fahazoan-dΓ lana hita ao amin'ny modules; hita fa ampy ny mandefa fangatahana HTTP amin'ny Web API avy amin'ny subnet azon'ny mpanjifa.
Anisan'ny zavatra hafa, nisy module hita tao amin'ny server, izay misy rakitra good.dev-test.carkeys.tar miaraka amin'ny fanalahidin'ny VPN ampiasaina mandritra ny dingana fampandrosoana. Ny fanalahidy voafaritra dia niasa ary namela anay hifandray amin'ny VPN anatiny an'ny orinasa vpn.dev.teslamotors.com.
Hita tao amin'ny lohamilina ihany koa ny code service reny, izay nahafahan'ny fandinihana ireo teboka mifandray amin'ny serivisy fitantanana maro. Hita fa ny ankamaroan'ireo serivisy fitantanana ireo dia misy amin'ny fiara rehetra, raha mifandray amin'ny fampiasana ny fanalahidy VPN hita ho an'ny mpamorona. Tamin'ny alΓ lan'ny fanodikodinana ny serivisy dia azo natao ny naka ny fanalahidy fidirana nohavaozina isan'andro ho an'ny fiara rehetra, ary koa ny dika mitovy amin'ny fahazoan'ny mpanjifa rehetra.
Ny fampahalalana voatondro dia nahafahana namaritra ny adiresy IP an'ny fiara izay nametrahana fifandraisana tamin'ny VPN. Satria ny subnet vpn.dev.teslamotors.com dia tsy nosarahan'ny firewall araka ny tokony ho izy, tamin'ny alΓ lan'ny fanodinkodinana zotra tsotra dia azo natao ny nahatratra ny IP an'ny mpanjifa ary nifandray tamin'ny fiarany tamin'ny alΓ lan'ny SSH miaraka amin'ny zo fototra, amin'ny fampiasana ny fahazoan-dΓ lana efa azon'ny mpanjifa teo aloha.
Ho fanampin'izany, ny mari-pamantarana azo ho an'ny fifandraisana VPN amin'ny tambajotra anatiny dia nahafahana nandefa fangatahana tamin'ny fiara rehetra tamin'ny alΓ lan'ny Web API mothership.vn.teslamotors.com, izay nekena tsy nisy fanamarinana fanampiny. Ohatra, mandritra ny fitsapana dia azo atao ny mampiseho ny famaritana ny toerana misy ny fiara amin'izao fotoana izao, mamoha ny varavarana ary manomboka ny motera. Ny laharan'ny VIN an'ny fiara dia ampiasaina ho famantarana hisafidianana lasibatra fanafihana.
Source: opennet.ru