特斯拉上价值 10000 美元的 XSS 漏洞

发布于2024年7月5日2025年7月19日作者:cve-20

特斯拉上价值 10000 美元的 XSS 漏洞

谈思实验室 2024-07-04 17:55

点击上方蓝字
谈思实验室

获取更多汽车网络安全资讯

我有幸尝试破解的有趣事物之一是特斯拉Model 3。它内置了网络浏览器，享有免费的高级LTE网络，并且支持OTA。这简直就是一个高速移动的联网计算机。

年初，我买了一辆特斯拉Model 3，不仅开起来爽，折腾起来也挺有意思的。我在车库里捣鼓了半天，想让车干点它本不应该干的事，结果还真让我捣鼓出了点名堂。

April, 2019

我首先花时间研究的是车辆的‘命名你的爱车’功能。这个功能允许你给你的车设置一个昵称，并且会将这个信息保存到你的账户上，这样每当你通过移动应用接收到推送通知时（比如充电完成），你都能看到这个昵称。”

就是中间那个方块右上角的“给你的车起个名”按钮

MD遭受了一起严重的黑客入侵事件，黑客Intelbroker 大规模泄漏了AMD的数据。AMD当即发起了调查，在一份声明中表示：“我们正在与执法官员和第三方托管合作伙伴密切合作，调查该指控和数据的意义。”

在中控屏右上角的‘命名你的爱车’按钮处，我最初给我的车命名为’%x.%x.%x.%x’，想看看它是否像2011年的宝马330i那样容易受到格式化字符串攻击，但遗憾的是它并没有产生什么效果。

“So basically set your smartphone’s name to %x%x%x%x and test for format string vulns in connected devices” — Eهاв Huسein (@Obzy)

在花更多时间研究输入后，我发现输入允许的内容长度非常长。我决定给我的特斯拉命名为包含xss语句的名字，并继续在车上的其他功能上进行尝试。

我这么起名是想，这个名字可能会在特斯拉的某个内部车辆管理网站上显示，或者在我的账户里的某个功能里。

我还花了不少时间研究内置的网络浏览器。虽然没折腾出什么大动静，但尝试让它加载文件或奇怪的URI也挺有意思的。

那天晚上没找到什么，我就放弃了，忘了我把车名设成了一个盲XSS。

June, 2019

在一次自驾游中，一块大石头不知从哪儿飞来，把我的挡风玻璃砸裂了。

我用特斯拉的应用支持功能预约了维修，然后继续开车。

第二天，我收到了一条关于这个问题的短信，说有人在调查这件事。我查看了我的XSS hunter ，发现了一些非常有趣的东西。


Vulnerable Page URL
https://redacted.teslamotors.com/redacted/5057517/redacted
Execution Origin
https://redacted.teslamotors.com
Referer
https://redacted.teslamotors.com/redacted/5YJ31337

回应我挡风玻璃破裂问题的一位客服，在“redacted.teslamotors.com”域的上下文中触发了我的XSS。

XSS站点的截图显示，这个页面是用来查看车辆的重要统计数据的，通过URL中的车辆ID来访问。引用头里还有我车的VIN号码。

XSS在特斯拉管理车辆的页面上触发了。

截图里显示了我车的当前信息，比如速度、温度、版本号、轮胎压力、是否锁车、警报等等。

VIN: 5YJ3E13374KF2313373
Car Type: 3 P74D
Birthday: Mon Mar 11 16:31:37 2019
Car Version: develop-2019.20.1-203-991337d
Car Computer: ice
SOE / USOE: 48.9, 48.9 %
SOC: 54.2 %
Ideal energy remaining: 37.2 kWh
Range: 151.7 mi
Odometer: 4813.7 miles
Gear: D
Speed: 81 mph
Local Time: Wed Jun 19 15:09:06 2019
UTC Offset: -21600
Timezone: Mountain Daylight Time
BMS State: DRIVE
12V Battery Voltage: 13.881 V
12V Battery Current: 0.13 A
Locked?: true
UI Mode: comfort
Language: English

Service Alert: 0X0

此外，还有关于固件、CAN数据、地理围栏、配置和一些听起来很有意思的代号功能的标签。