背景介绍：

一位德国19岁小伙儿David Colombo偶然发现窃取特斯拉汽车的“方法”（提示：这并不是特斯拉基础设施中的直接漏洞所导致）。

该漏洞可以使黑客能够远程执行命令，比如“禁用哨兵模式”、“开车门”、“打开车窗户”，甚至是“启动无钥匙驾驶”模式。

下面是其中一辆被‘窃取’特斯拉汽车的屏幕截图：

让我们来看看这位白帽小伙儿是如何发现该漏洞的。

19岁白帽

这位19岁的白帽小伙儿名叫David Colombo（大卫科伦坡），今年19 岁，来自德国美丽的巴伐利亚州。

他在 10 岁左右开始编码，然后不知不觉中迷上了网络安全。

15 岁时他基本处于辍学状态（得到德国商会的特别许可，每周只上去学校2天），为了在网络安全领域进行更多的自我教育，于是他创办了一家旨在改善当前网络安全形势的公司。目前该公司已正式更名为Colombo Technology，公司主要提供安全审计、渗透测试和网络安全咨询等服务。

也就是从15岁起，这位小伙儿在 RedBull、美国国防部和许多其他 NDA 下的组织中发现了各种安全漏洞。

故事的开始

事情的起因是从去年开始的，当时这位白帽小哥正要跟一家来自巴黎的 SaaS 公司洽谈安全审计的事宜。

然而好奇心涌上心头，白帽小哥迫不及待地想看一看他们的基础设施情况，以获得有关他们使用哪些服务和平台的基本信息，当时他想，也许可以很快找到一些过时的软件或暴露的备份数据库，以便在下一次会议上向他们公司展示。

在做子域枚举时，白帽小哥发现了一个backup.redacted.com子域，但该网站除了一个简单的“this works”内容外，几乎没有任何东西在运行。

难道就这样结束了吗？如果到此为的话，也就没有今天的故事了。于是白帽小哥对该网站进行了端口扫描：

尝试telnet失败：

但是在浏览器中访问这些端口，有时就会出现一些有趣的事情：

TeslaMate

这个页面看起来有趣多了，但尝试访问仪表板或任何东西后，发现都无法正常工作。

但是这个页面可以看到一辆特斯拉停在哪里，白帽小哥本想就这么上报该事件。

但好奇心再次涌上心头，因为白帽小哥也是特斯拉的铁杆粉丝，所以他很想深入搞清这件事。

TeslaMate是一个相当酷的应用程序，一个特斯拉的自托管数据记录器，而且它是开源的，你可以在GitHub上找到它。

它用于拉取数据、存储和显示数据，你不能执行任何命令，如使用TeslaMate仪表板解锁车门等。(但是后面我们将了解如何利用它来执行命令)

通过查看Dockerfile，会发现它还附带了Grafana安装，端口5555，尝试访问看看：

居然能够查看到大量数据，包括特斯拉在哪里、充电在哪里、目前的位置、通常停在哪里、什么时候开车、旅行的速度、导航请求、软件更新历史、甚至是特斯拉周围的天气等等。

更新：TeslaMate版本1.25.1已修复了该问题，现在已经禁止未经授权的访客访问这些敏感信息的Grafana仪表板。

紧接着好奇心再次来袭，白帽小哥很想知道TeslaMate是怎样工作的，因为…如果它能够提取所有的车辆数据，它是否也有办法向特斯拉发送指令呢？

在有了上面这个想法后，他开始阅读TeslaMate的源代码，以弄清楚身份验证是如何工作的，特斯拉凭证是如何通过应用程序以及它将用户的API密钥存储在哪里。

长话短说吧，它确实保存了API密钥，还存储了所有其它数据，API密钥既不单独存储，也不加密。

那么，如果Grafana可以访问车辆数据，并且API密钥存储在车辆数据‘隔壁’，那么Grafana不就可以读取和输出API密钥吗？

Grafana Explore可以运行自定义查询，很可惜需要身份验证……

大家应该都听过一个“默认密码”的‘上古’安全漏洞，是的，TeslaMate Docker的Grafana安装也带有默认密码。

可以在不通过Grafana端点登录的情况下，以未经授权的匿名用户身份查询令牌(参见下面的CVE2022-23126以及在私下披露之后发布的TeslaMate补丁v1.25.1和下面进一步包含的屏幕截图)。

白帽小哥尝试用admin:admin登录，在这之后，为Grafana(Explore)构建查询字符串并查询API令牌。

在这点上，白帽小哥能够完全确认，确实有可能被一些外部攻击者执行这些步骤，并最终控制CTO的特斯拉汽车。

白帽小哥认为这是一个严重的安全问题，应该没有人能够解锁SaaS公司的首席技术官的特斯拉，于是白帽小哥立即联系了该单位并解决了该问题。

TeslaMate在默认情况下是不安全的，这意味着如果使用默认的Docker配置部署，或者使用默认配置的Docker映像，那么TeslaMate就会暴露并受到此类攻击。

互联网上有更多这样的例子吗？

虽然白帽小哥很忙，但他无法打消这个探索的念头，于是他再一次在互联网上搜索暴露的信息，只不过这一次他可以进入车辆。

另一个让白帽小哥再次开启探索的是，可以无需用户密码来发出无钥匙启动的API调用。

如何访问世界各地的随机特斯拉？

大致分为以下步骤：

• 在互联网范围内搜索TeslaMate实例(例如搜索MQTT代理)

• 确保它们在不安全的默认Docker配置下运行(这个问题现在应该已经修复，因为用户已获取了最新版本)

• 通过3000端口访问Grafana仪表板

• 使用默认凭据登录(当然，只有在授权的情况下才能这样做)

• 转到资源管理器选项卡

• 使用查询构造提取API并刷新令牌

• 开心地玩一辆特斯拉吧(当然，最好是只玩你自己的特斯拉)

作为登录的替代方法，例如，如果所有者更改了管理员密码，还可以通过Grafana API以未经授权的匿名Grafana用户身份向TeslaMate数据源运行任意请求，具体参见CVE-2022-23126

从Grafana查询特斯拉API令牌，无需提交凭证或登录Cookie

而使用特斯拉API令牌可以做的事情包括但不限于:

• 打开门锁

• 打开窗户

• 开始无钥匙驾驶

• 将视频分享给特斯拉

• 更改加热器/冷却器设置

• 按喇叭和闪灯

它甚至有可能打开或关闭一些车库门(如果车库门连接到暴露的特斯拉，可参阅https://tesla-api.timdorr.com/vehicle/commands/homelink)

完整名单可在https://tesla-api.timdorr.com/  找到

下面一些截图这位白帽小哥在世界各地发现的暴露特斯拉：

白帽小哥在几个小时内就发现了来自13个国家的25辆以上的特斯拉，包括德国、比利时、芬兰、丹麦、英国、美国、加拿大、意大利、爱尔兰、法国、奥地利和瑞士。至少还有大约30多辆来自中国，但白帽小哥为了不触碰我国的网络安全法，所以就没有碰它们。

因为这件事，这位19岁的白帽小哥的推特也在短时间内被大量网友关注、热议。有兴趣的童鞋可以通过@david_colombo_找到他。

今天的分享就是这些，如果觉得不错，请分享给更多喜爱的朋友～

====正文结束====

原文始发于微信公众号（骨哥说事）：【白帽故事】我是如何‘窃取’世界各地20多辆特斯拉汽车的