特斯拉上价值 10000 美元的 XSS 漏洞

我有幸尝试破解的有趣事物之一是特斯拉Model 3。它内置了网络浏览器，享有免费的高级LTE网络，并且支持OTA。这简直就是一个高速移动的联网计算机。

年初，我买了一辆特斯拉Model 3，不仅开起来爽，折腾起来也挺有意思的。我在车库里捣鼓了半天，想让车干点它本不应该干的事，结果还真让我捣鼓出了点名堂。

April, 2019

就是中间那个方块右上角的“给你的车起个名”按钮

在中控屏右上角的‘命名你的爱车’按钮处，我最初给我的车命名为'%x.%x.%x.%x'，想看看它是否像2011年的宝马330i那样容易受到格式化字符串攻击，但遗憾的是它并没有产生什么效果。

"So basically set your smartphone's name to %x%x%x%x and test for format string vulns in connected devices" — Eهاв Huسein (@__Obzy__)

在花更多时间研究输入后，我发现输入允许的内容长度非常长。我决定给我的特斯拉命名为包含xss语句的名字，并继续在车上的其他功能上进行尝试。

我这么起名是想，这个名字可能会在特斯拉的某个内部车辆管理网站上显示，或者在我的账户里的某个功能里。
我还花了不少时间研究内置的网络浏览器。虽然没折腾出什么大动静，但尝试让它加载文件或奇怪的URI也挺有意思的。
那天晚上没找到什么，我就放弃了，忘了我把车名设成了一个盲XSS。

June, 2019

在一次自驾游中，一块大石头不知从哪儿飞来，把我的挡风玻璃砸裂了。

我用特斯拉的应用支持功能预约了维修，然后继续开车。

第二天，我收到了一条关于这个问题的短信，说有人在调查这件事。我查看了我的XSS hunter ，发现了一些非常有趣的东西。

Vulnerable Page URLhttps://redacted.teslamotors.com/redacted/5057517/redactedExecution Originhttps://redacted.teslamotors.comRefererhttps://redacted.teslamotors.com/redacted/5YJ31337

XSS站点的截图显示，这个页面是用来查看车辆的重要统计数据的，通过URL中的车辆ID来访问。引用头里还有我车的VIN号码。

XSS在特斯拉管理车辆的页面上触发了。

截图里显示了我车的当前信息，比如速度、温度、版本号、轮胎压力、是否锁车、警报等等。

VIN: 5YJ3E13374KF2313373Car Type: 3 P74DBirthday: Mon Mar 11 16:31:37 2019Car Version: develop-2019.20.1-203-991337dCar Computer: iceSOE / USOE: 48.9, 48.9 %SOC: 54.2 %Ideal energy remaining: 37.2 kWhRange: 151.7 miOdometer: 4813.7 milesGear: DSpeed: 81 mphLocal Time: Wed Jun 19 15:09:06 2019UTC Offset: -21600Timezone: Mountain Daylight TimeBMS State: DRIVE12V Battery Voltage: 13.881 V12V Battery Current: 0.13 ALocked?: trueUI Mode: comfortLanguage: English

Service Alert: 0X0

此外，还有关于固件、CAN数据、地理围栏、配置和一些听起来很有意思的代号功能的标签。

有趣的是，在线客服可以向车辆发送更新，很可能还能修改车辆配置。我的猜测是，根据DOM中的不同超链接，这个应用程序具有这个功能。

我没有尝试这个，但很可能通过改变ID，攻击者可以提取和修改有关其他汽车的信息。

我写了份报告给特斯拉的漏洞赏金计划。他们把它定为P1级别，评论了一番，12小时内就推出了一个紧急修复。大约两周后，他们给了我1万美元的奖金，并确认了我的猜测，这是个严重的问题。

原文始发于微信公众号（安全脉脉）：特斯拉上价值 10000 美元的 XSS 漏洞