Poznaj AI! Obejrzyj bezpłatnie szkolenie jutro o godz. 10:00 lub 19:00

Tesla Model 3: przeglądasz w trakcie jazdy coś na panelu kontrolnym auta, a tu nagle freez całego interfejsu (DoS)!

23 marca 2020, 10:12 | W biegu | komentarze 3

Dzisiaj w serii #vulnz, ciekawy błąd (CVE-2020-10558) znaleziony ostatnio przez @Nuzzl2 w samochodzie Tesla Model 3.

Krótko mówiąc: z poziomu ekranu w samochodzie można uruchomić przeglądarkę webową, którą podatna jest błąd typu DoS. W wyniku przejścia na specjalnie spreparowaną stronę internetową, możliwe było całkowite zajęcie zasobów procesora, w wyniku czego zablokowane były wszystkie funkcje interfejsu użytkownika; nawet prędkościomierz nie wyświetlał właściwej wartości!

Przykład na filmiku poniżej:

O ile skutki ataku są dość poważne, o tyle nie jest on trywialny w wykorzystaniu – ofiara musi wejść na odpowiedniego linka z poziomu samochodu.

Sam link do kodu, który zblokował przeglądarkę wklejam poniżej. Ale zalecam szczególną ostrożność przed wejściem na tego linka – bowiem inne przeglądarki też mogą się mocno zablokować.

— mb

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Monter

    Załadowaliście do posta film po HTTP i wyskakuje monit mixed content…

    Skrypt umieszczony na złośliwej stronie jest dość prosty, zawiesza przeglądarki generując spore obciążenie oraz zajętość RAM.

    Odpowiedz
  2. Michał

    Chyba lepiej byłoby załączyć „złośliwy” kod w formie zrzutu ekranu z edytora z kodem albo wklepać go w codeboxa, sama „część wykonawcza” ma postać:

    var total = „”;
    for( var i = 0; i < 100000; i++ )
    {
    total = total + i.toString();
    history.pushState(0,0, total );
    }

    i wedle zgrubnego obliczenia długości ciągu jaki dodaje do historii, zgeneruje około 22-23GB danych – zanim ktoś to otworzy to lepiej się upewnić że ma się co najmniej 30G miejsca na dysku i wolnej pamięci RAM (albo otwiera z włączonym taskmanagerem i paluszkiem w pogotowiu)

    Odpowiedz
  3. Monter
    Odpowiedz

Odpowiedz