Bir Tesla kullanırsanız, araçtan büyük verileri toplayabilir ve değerlendirebilirsiniz. Bu, örneğin açık kaynak teslamate projesi ile mümkündür. Bir BT araştırmacısı, ağda bu verileri tüm halka açıklayan yüzlerce açık talep buldu.
Bir blog yazısında rapor veren Seyfullah KILIU'tan erişimin korunmasının eksikliği. Kaynak Teslamate -Open aracı GitHub'da indirilebilir. Araç verilerinizi toplamanıza ve bir Postgreres veritabanına kaydetmenize olanak tanır. Veriler Grafana ile görüntülenebilir ve analiz edilebilir ve yerel SQM brokerlerine dağıtılabilir. Bu, yerli asistan gibi hazırlığa izin verir.
Teslam'ın yönettiği veriler arasında otomatik adreslere sahip seyahat verileri, yükleme ve pil koşulları yer alıyor. Proje, GitHub hakkında daha fazla veri için mevcut olan çeşitli standart gösterge tablosunu listeler.
Otomatik -Access'in korunması olmadan
KILIül'in karşılaştığı sorun, Teslamate'in kendi kendine yeterliliğinde yatıyor. Varsayılan olarak, yazılım erişim koruması içermez ve tüm verilere erişim sağlar. Bu, yetkisiz kişilerin pozisyonu görmelerini sağlar – bundan bir Tesla evde veya ofiste ise gerekirse türetilebilir. Örneğin, hırsızlar gibi saldırganlar için çok yararlı.
Varsayılan olarak, Teslamate 4000 kapıda bir web arayüzü ve 3000 kapıda bir Grafhana gösterge paneli sağlar. Görünüşe göre, bulut sunucularındaki örnekleri barındırmaya veya ulusal internet kurulumlarını göndermeye çalışır. Açık TCP bağlantı noktaları 4000 arayışı ve internet üzerinden Teslamate HTTP Standart Başlık sorgusu ile BT güvenlik araştırmacısı, tüm dünyada bu daha kişisel bilgileri ortaya çıkaran yüzlerce açık örneği karşıladı.
Buna dayanarak, izlenen Teslas'ın tam GPS verilerini, modellerin adlarını, yazılım sürümünü ve güncelleme kronolojisinin yanı sıra seyahatin zamanlamalarını ve şarj oturumlarını değerlendiren bir palet planladı. Bir karttaki günlük alışkanlıkları değerlendirerek, yerli adresleri tanıyabildi ve sık sık yerleri ziyaret etti. URL Teslamap.io altında, KILIül değerlendirmelerini bir kartta yayınlar. Ayrıca Almanya, Avusturya ve İsviçre'de tedavi edilen gözlem altında birkaç araç var.
Sorun, erişimin korunmasının olmamasıdır. Hizmet, internette kamuoyu tarafından erişilebilir olmamalı, en azından sadece VPN üzerinden erişen LAN'da olmak gerekir. BT araştırmacısı ayrıca en azından temel kimlik doğrulama olan Nginx ile ters bir proxy giymeyi önerir. Kullanıcı adından bir erişim sorgusu ve geri alınan şifre.
(DMK)
Bir yanıt yazın