来源:蜚语安全
特斯拉又双叒出问题了?这一次可是手机远程启动的安全风险!
最近几天特斯拉有点热,先是遭遇上海车展“车顶维权”事件,然后又因为设置车内摄像头拍摄高清画面的的事件引发关于用户隐私的热议。今天我们要给大家继续深入分析的是另一项可能更为关键的安全特性——特斯拉手机远程车辆启动功能中存在的安全风险。首先要声明的是,作为负责的安全研究团队,蜚语安全在2020年就发现了相关问题并第一时间通知了特斯拉安全部门,然而得到的回复却和维权无门的消费者类似。依照国际惯例,我们在经过长时间等待后,现在对该问题的细节进行披露。
蜚语安全在研究中发现,特斯拉用于远程启动车辆的移动APP在对用户身份进行认证时存在严重的安全疏漏,使用的认证协议极其初等,在很多并不苛刻的场景下,攻击者都可以轻易绕过相关防护,在不提供正确用户凭据(例如指纹等用户生物识别特征)甚至无需接触手机的情况下非法解锁启动车辆,导致特斯拉智能汽车的门锁功能失去应有的安全强度。