電腦安全研究人員在特斯拉備援閘道中發現了一個重大安全漏洞,該系統管理製造商的家用儲能電池 Powerwall 的網路連線。
2015年,特斯拉推出了Powerwall系統、家用儲能電池。這些巨大的可充電電池配有多個太陽能電池板,透過太陽能產生再生能源。 Powerwall 的主要功能之一是,當能源生產大於家庭消耗時,它們可以為家庭的通用網路提供多餘的能源。
Powerwall 用戶還可以從訪問 Tesla Backup Gateway 中受益,專為管理 Powerwall 安裝產生的太陽能而開發的專屬平台。該系統能夠直接連接到網絡,對其進行監控並在發生中斷時向所有者發出警報。此外,用戶可以透過行動應用程式控制能量儲備。
暴力攻擊足以獲得系統存取權限
然而事實證明特斯拉備援網關有安全漏洞Rapid7 的電腦安全研究人員表示。事實上,要首次訪問該平台,用戶必須透過 Wi-Fi 連接到 TeslaBackup Gateway 網絡,並輸入他們的電子郵件地址和密碼(序號的最後五位數字)。
Rapid7 研究人員表示,這種方法的風險在於駭客可以利用「弱引用」。五位數的密碼可產生 6,040 萬種可能的組合。然而,根據這些專家的說法,無法防禦暴力攻擊,其中包括一一嘗試所有可能的組合來破解密鑰或密碼。
另一個問題是 Tesla Backup Gateway 的 Wi-Fi 存取點的 SSID 使用序號的最後三個字元。事實上,如果駭客存取了這些數據,他只需找到五位數字中的兩位即可獲得密碼。 Rapid7 也指出,美國許多城市都發布了在線上安裝 Tesla Solar 或 Powerwall 的許可證,這使得駭客可以輕鬆取得潛在目標的地址。
然而,Tesla Backup Gateway 平台包含記錄能源消耗、某些家庭資訊以及其他可用於取得額外資料和存取特定功能的隱藏 API。 “理論上,平台管理的能源的電壓、週期和其他參數以及與其連接的電池都是可配置的。如果這些參數可以改變,可能會損壞電池,甚至電網。讓 Rapid 7 研究人員放心。
在他們的研究發表之前,Rapid7 聯繫了特斯拉。製造商宣稱“在新發布的 Backup Gateway V1 平台上,可預測的安裝密碼已經修復了一段時間 [...],並且所有密碼現在都是隨機產生的」。
來源 :中電網
詢問我們最新的!
來自 CarWoW YouTube 頻道的 Mat Watson 剛剛進行了一項相當獨特的測試。這個想法?駕駛六輛電動 SUV 達到極限,看看哪一輛能跑得最遠。所有人都在同一天、同一條路線上…
電動車
