开源的特斯拉第三方数据工具 TeslaMate 被曝安全漏洞

IT之家8月19日消息，据外媒CyberSecurityNews昨日报道，一名网络安全研究员发现，数百个公开可访问的TeslaMate安装程序正在未经身份验证的情况下泄露敏感的特斯拉车辆数据，向互联网上的任何人暴露GPS坐标、充电模式和驾驶习惯。

IT之家注：TeslaMate是一款受特斯拉车主欢迎的开源解决方案，它可以连接到特斯拉的官方API，为特斯拉车主提供了一系列功能，包括数据分析、监控、统计通知等，还能够将数据上传到云端。

报道称，这种漏洞源于该工具的配置错误，安全研究员SeyfullahKILIÇ使用复杂的侦察技术进行了广泛的互联网扫描，以识别暴露的TeslaMate实例。

该方法涉及在多个10Gbps服务器上部署masscan，扫描整个IPv4地址空间中开放的4000端口，该端口承载TeslaMate的核心应用接口。

在初步发现阶段后，研究人员使用httpx过滤并识别真正的TeslaMate安装情况，通过检测应用程序独特的HTTP响应签名，扫描操作成功识别出数百个易受攻击的实例，这些实例暴露了特斯拉车辆实时数据，包括精确的GPS坐标、车辆型号信息、软件版本、充电会话时间戳和详细的位置历史记录。

研究人员还创建了一个teslamap.io演示网站，用于可视化暴露车辆的地域分布，展示了隐私泄露的严重性。

报道提到，根本性的安全漏洞在于TeslaMate的默认配置，其缺乏对关键端点的内置认证机制。当部署在端口4000暴露于互联网的云服务器上时，该应用程序会立即被全球未授权用户访问。

此外，许多安装运行在端口3000上的Grafana仪表板，使用默认或弱密码凭证，从而创造了多个攻击向量。

报道认为，使用TeslaMate实例的特斯拉车主必须立即采取安全措施来保护他们的车辆数据。基本保护措施包括使用Nginx配置反向代理认证，以及通过防火墙规则限制访问、将服务绑定到localhost接口等。