计算机安全研究人员在特斯拉备份网关中发现了一个重大安全漏洞,该系统管理制造商的家用储能电池 Powerwall 的网络连接。
2015年,特斯拉推出了Powerwall系统、家用储能电池。这些巨大的可充电电池配有多个太阳能电池板,通过太阳能产生可再生能源。 Powerwall 的主要功能之一是,当能源生产大于家庭消耗时,它们可以向家庭的通用网络提供多余的能源。
Powerwall 用户还可以从访问 Tesla Backup Gateway 中受益,专为管理 Powerwall 安装产生的太阳能而开发的专属平台。该系统能够直接连接到网络,对其进行监控并在发生中断时向所有者发出警报。此外,用户可以通过移动应用程序控制能量储备。
暴力攻击足以获得系统访问权限
然而事实证明特斯拉备份网关存在安全漏洞Rapid7 的计算机安全研究人员表示。事实上,要首次访问该平台,用户必须通过 Wi-Fi 连接到 TeslaBackup Gateway 网络,并输入他们的电子邮件地址和密码(序列号的最后五位数字)。
Rapid7 研究人员表示,这种方法的风险在于黑客可以利用“弱引用”。五位数的密码可产生 6040 万种可能的组合。然而,根据这些专家的说法,无法防御暴力攻击,其中包括一一尝试所有可能的组合来破解密钥或密码。
另一个问题是 Tesla Backup Gateway 的 Wi-Fi 接入点的 SSID 使用序列号的最后三个字符。事实上,如果黑客访问了这些数据,他只需找到五位数字中的两位即可获得密码。 Rapid7 还指出,美国许多城市都发布了在线安装 Tesla Solar 或 Powerwall 的许可证,这使得黑客可以轻松获取潜在目标的地址。
然而,Tesla Backup Gateway 平台包含记录能源消耗、某些家庭信息以及其他可用于获取额外数据和访问特定功能的隐藏 API。 “理论上,平台管理的能源的电压、周期和其他参数以及与其连接的电池都是可配置的。如果这些参数可以改变,可能会损坏电池,甚至电网。”让 Rapid 7 研究人员放心。
在他们的研究发表之前,Rapid7 联系了特斯拉。制造商宣称“在新发布的 Backup Gateway V1 平台上,可预测的安装密码已经修复了一段时间 [...],并且所有密码现在都是随机生成的”。
来源 :中电网
询问我们最新的!
来自 CarWoW YouTube 频道的 Mat Watson 刚刚进行了一项相当独特的测试。这个想法?驾驶六辆电动 SUV 达到极限,看看哪一辆能跑得最远。所有人都在同一天、同一条路线上……
电动车
