محقق امنیتی Sam Curry پس از گزارش یک نقص XSS، که می توان از آن برای دستیابی به اطلاعات خودرو به طور مخفیانه استفاده کرد، از تسلا Tesla، ۱۰۰۰۰دلار دریافت کرده است.

Curry این موضوع را در نرم افزار خودرو مدل تسلا ۳ خود کشف کرد. او از ابزار XSS Hunter برای وارد کردن پیلود(payload) در قسمت “نام خودرو شما” در سیستم اطلاعاتی استفاده کرد.

XSS Hunter با میزبانی تخصصی کاوشگر XSS کار می کند که پس از اجرا، صفحه را اسکن کرده و اطلاعات مربوط به صفحه آسیب پذیر را به سرویس XSS Hunter ارسال می کند.

به طرز شگفت انگیزی Curry موضوع  XSS را ماه‌ها بعد هنگامی که او از برنامه تلفن همراه برای تماس با پشتیبانی تسلا به خاطر ترک خوردگی شیشه ماشینش توسط سنگ استفاده می‌کرد، کشف کرد.

او در حال تنظیم یک قرار ملاقات، از پنل XSS Hunter متوجه شد که این این نقص ایجاد شده است. او کشف کرد که برخی از اطلاعات در مورد وسیله نقلیه از یک صفحه نرم افزار Tesla که برای دیدن آمار حیاتی ماشین مورد استفاده قرار می‌گیرد، جمع آوری می‎شوند.

اطلاعات جمع آوری شده شامل شماره شناسایی وسیله نقلیه، سرعت، درجه حرارت، شماره مدل، اینکه آیا قفل شده بود یا نه، فشار تایر و هشدارها می‌باشد. داده ها شامل سایر اطلاعات سخت ‌افزاری سیستم مانند موقعیت های geofense، ناظرانController Area Network  و تنظیمات نیز می‌باشد.

“چیزی که بسیار جالب بود آن بود که عوامل پشتیبانی به صورت زنده قادر به ارسال به روز رسانی به ماشین‌ها هستند و به احتمال زیاد تنظیمات وسایل نقلیه را تغییر می‌دهند. Curry می‌گوید “حدس من این بود که این برنامه دارای این قابلیت باشد که بر اساس لینک های مختلف در داخل DOM پشتیبانی بشود. “من در مورد این جست و جو نکرده‌ام، اما احتمال دارد که با افزایش شناسه(ID) ارسال شده به دیتابیس، یک مهاجم بتواند اطلاعاتی درباره سایر اتومبیل ها را جمع آوری کرده و تغییر دهد.”

او اضافه می‌کند : اگر من یک مهاجم بودم که در تلاش برای انجام این کار بودم، احتمالا باید چند درخواست پشتیبانی ارسال می‌کردم، اما من نهایتا می‌توانم از طریق مشاهده DOM و جاوا اسکریپت‌ها برای ایجاد درخواست، برای انجام دقیقا همان چیزی که می خواهم انجام دهم، بتوانم به اندازه کافی در مورد محیط خود یاد بگیرم. ”

محقق گزارش ضعف در Tesla را تنها در۱۲ ساعت تکمیل کرد که آن نیز تایید شد. جدول زمانی این نقص را در ذیل مشاهده می‌فرمایید:

۲۰ ژوئن ۲۰۱۹ ۰۶:۲۷:۳۰ UTC – گزارش شده است

۲۰ ژوئن ۲۰۱۹ ۲۰:۳۵:۳۵ UTC – ترجیحی، اصلاح داغ

۱۱ ژوئیه ۲۰۱۹ ۱۶:۰۷:۵۹ UTC – راهکار

Curry 10،۰۰۰ دلار برای گزارش ضعف تسلا دریافت کرد.

نتیجه گیری Curry : “با نگاهی به گذشته، این یک مسئله بسیار ساده اما قابل فهم بود، چیزی که می توانست نادیده گرفته شود یا به نوعی رها شود. اگرچه من از تاثیر دقیق این آسیب پذیری مطمئن نیستم، ولی به نظر می رسد که مهم باشد، چون که حداقل کارش این است که به مهاجم اجازه داده می‌شود اطلاعات را به صورت زنده درباره وسایل نقلیه و  مشتری احتمالی، مشاهده کند. ”