黄色网站入口国产美女,精品国产欧美另类一区,国产一区二区美女自慰,日日摸夜夜添无码国产

選擇你喜歡的標簽
我們會為你匹配適合你的網(wǎng)址導航

    確認 跳過

    跳過將刪除所有初始化信息

    零點擊漏洞又出Bug,兩名白帽黑客用無人機「黑」了特斯拉

    安全 2021-05-08 11:02

    聲明:該文章由作者(朱澤君)發(fā)表,轉載此文章須經(jīng)作者同意并請附上出處(0XUCN)及本頁鏈接。。

    最近,又有人「黑」了特斯拉的系統(tǒng)。

    通過無人機遠程利用「零點擊漏洞」成功入侵了特斯拉,通過wifi控制特斯拉的信息娛樂系統(tǒng),可以打開車門、后備箱,調整座椅位置,打開轉向、加速模式等。

    除了不能切換到駕駛模式,其他所有駕駛員執(zhí)行的操作都可以執(zhí)行。

    而且所有操作都是通過遠程實現(xiàn)的,無需互動。

    漏洞「TBONE」

    兩名研究員Ralf-Philipp Weinmann和Benedikt Schmotzle通過特斯拉汽車(如Model 3)自動連接到 「特斯拉服務 」WiFi.

    某網(wǎng)友推特簡介中包含「特斯拉服務」wifi密碼

    再加上ConnMan后臺程序的兩個組件中的兩個漏洞,在CID(信息娛樂系統(tǒng))上獲得遠程代碼執(zhí)行:DNS轉發(fā)程序中的堆棧溢出,以及DHCP組件中的堆棧信息泄露。

    對ConnMan的控制比CID上大多數(shù)其他非root后臺程序要強大得多。因為它允許關閉防火墻,改變路由表,以及加載和卸載內核模塊。

    入侵之后,幾乎所有駕駛員在中控屏幕上可以進行的操作都可以實現(xiàn)。

    除了不能直接控制汽車的驅動系統(tǒng)。

    這些漏洞被稱為「TBONE」。

    寫下這些漏洞代碼原本是為了參加2020年的計算機黑客挑戰(zhàn)賽PWN2OWN,但比賽被新冠攔下了。

    在PWN2OWN比賽中,參賽者要從廣泛使用的軟件和移動設備中找出未發(fā)現(xiàn)的漏洞。

    沒能參賽,團隊這才決定直接把發(fā)現(xiàn)的漏洞告訴特斯拉。

    特斯拉已經(jīng)在2020年10月下旬更新了2020.44版本,修補了這些漏洞。

    受到漏洞影響的部件在其他汽車制造商的信息娛樂系統(tǒng)中也很常見,這就引起了德國政府和國家級緊急應對中心CERT的關注。

    2021年1月,CERT向汽車全行業(yè)通報了這一漏洞。

    對這一漏洞的修補程序已經(jīng)被檢入Git存儲庫,2021年2月ConnMan新版本(v1.39)也開始發(fā)布。

    現(xiàn)在,兩名研究人員決定向全網(wǎng)絡安全界公開這些漏洞。

    Ralf-Philipp Weinmann介紹:TBONE不需要用戶互動,而且可以輕松地將有效載荷傳送到停放的汽車上,這種漏洞很容易被利用,被武器化為蠕蟲病毒等。

    在TBONE中加入CVE-2021-3347這樣的權限升級漏洞,可以讓我們在特斯拉汽車中加載新的Wi-Fi固件,將其變成一個接入點,可以用來攻擊進入受害者汽車附近的其他特斯拉汽車。

    然而,我們并不想把這個漏洞變成一個蠕蟲病毒的武器。

    值得注意的是,兩名研究員在沒有接觸到真正的特斯拉汽車的情況下發(fā)現(xiàn)了漏洞。

    研究人員介紹:我們在自己的「模擬器KunnaEmu」中完全模擬了特斯拉的ConnMan. KunnaEmu的模擬足夠準確,在實際特斯拉硬件上的漏洞與模擬器上的一致。

    我們在Kunnamon的任務是將云計算和仿真的力量大規(guī)模地用于測試嵌入式汽車系統(tǒng)。

    漏洞賞金計劃

    「TBONE」漏洞的發(fā)現(xiàn)也會為兩名研究員帶來一筆「漏洞賞金」,不過目前暫不清楚具體細節(jié)。

    2017年3月,白帽黑客Jason Hughes成功黑進了特斯拉的內部服務器,控制了所有的特斯拉車輛,可以獲得每輛特斯拉的精確位置,甚至還能激活「召喚」功能,實現(xiàn)遠程駕駛。后來,他收到了特斯拉5萬美元的漏洞賞金。

    2019年的黑客競賽Pwn2Own,特斯拉承諾向成功入侵特斯拉汽車的人「獎勵」一輛model 3.

    這種獎勵機制叫「漏洞賞金計劃」。

    這個計劃的原則就是「沒有人比一個專業(yè)的竊賊更擅長保護你的家」。

    而黑客們也樂得通過發(fā)現(xiàn)漏洞拿錢,至少是「正當途徑」。

    漏洞賞金計劃和上面提到的黑客競賽Pwn2Own也頗有淵源。

    2007年,為了查找macOS x 操作系統(tǒng)的安全漏洞,以提升蘋果加強安全措施,引入了Pwn2Own競賽。

    隨后,谷歌和Facebook也紛紛推出自己的「白帽計劃」,獎金最低500美元,上不封頂,截至目前獎金總額已達200萬美元。

    特斯拉也一樣。

    特斯拉已經(jīng)連續(xù)多年加注Pwn2Own黑客大賽,提供高達1.5萬美元的獎金,截至目前,給出去的獎金總額已達數(shù)十萬美元。


    關注我們

    [超站]友情鏈接:

    四季很好,只要有你,文娛排行榜:https://www.yaopaiming.com/
    關注數(shù)據(jù)與安全,洞悉企業(yè)級服務市場:https://www.ijiandao.com/

    *文章為作者獨立觀點,不代表 0XUCN 立場
    本文由 朱澤君 發(fā)表,轉載此文章須經(jīng)作者同意,并請附上出處(0XUCN)及本頁鏈接。
    圖庫