19 歲駭客意外發現特斯拉漏洞，可遠距操控全球 25 輛特斯拉

德國 19 歲駭客 David Colombo 發現，可以透過第三方開源軟體中的一項漏洞，遠距操控全球 25 輛特斯拉，包括關掉 Sentry Mode（哨兵模式）、開關車門或鳴笛，同時又注意到特斯拉數位車鑰匙軟體中存在漏洞，能夠獲得這些車主的電子信箱。

Colombo 表示，該漏洞存在於特斯拉一個應用程式介面（API），主要是在免費軟體 TeslaMate 中發現這個漏洞，做為自託管形式的網路儀表板，許多特斯拉車主用來連接車載系統，通常在車主的家用電腦上運行，並透過特斯拉 API 來訪問與車主帳戶相關的車載數據。

但由於網路儀表板中的一個安全漏洞，允許駭客訪問和使用一些用戶從未修改過的默認密碼、再加上車主的錯誤配置，導致數百個 TeslaMate 儀錶板資訊直接暴露於網路上，包括特斯拉去過的地方、充電地點、目前位置、行駛速度等，其中還有沒加密的 API 金鑰。

▲ 特斯拉 Model Y 在加州行駛。（Source：David Colombo 部落格）

▲ 特斯拉在歐洲開車。（Source：David Colombo 部落格）

Colombo 發現後，在發現第一項漏洞後決定通知車主這件事情，其中一位 Twitter 網友建議，可以從兩個軟體相互通訊的代碼中找到受害車主的詳細聯絡方式，這個方法被稱之為端點「Endpoint」，也就是 API 特定接口的位址。因此他透過這方法找到車主的電子信箱，通知他們有危險。

隨後 Colombo 再將這些漏洞分享給特斯拉，目前特斯拉工程師已經編寫修復程式，該漏洞無法再被公開利用。

Colombo 接受採訪時指稱，受影響的汽車數量可能更高，遍布英美、歐洲、中國、加拿大等市場，還能夠看出車主的旅行路線。而特斯拉沒有對此多做回應。

• How I got access to 25+ Tesla’s around the world. By accident. And curiosity.

• Teen Tesla Hacker Accessed Owners’ Email Addresses to Warn Them

（首圖來源：shutterstock）