专家被授予10,000美元用于披露XSS缺陷到特斯拉

特斯拉支付了10,000美元的研究人员,该研究人员发现了一个存储的跨站点脚本(XSS)漏洞,可以被利用以改变车辆信息。

在报告存储的跨站点脚本(XSS)缺陷之后,Save Carchse eam Curry从Tesla获得了10,000美元,这可能已被剥削以获得车辆信息并潜在地修改它。

咖喱在他的特斯拉模型上发现了软件中的问题。他使用了 XSS Hunter. 在信息娱乐系统中将有效载荷插入有效载荷的工具。

XSS猎人通过托管专门的XSS探测器,在射击时扫描,扫描页面并向XSS Hunter Service发送有关漏洞页面的信息。

奇怪的携带在他使用移动应用程序在挡风玻璃被摇滚破裂后联系Tesla支持时发现了几个月的XSS。

当他注意到XSS猎人面板中,他正在建立一个预约,缺陷被触发。他发现,从Tesla应用程序的页面收集了一些关于车辆的一些信息,用于看到汽车的重要统计数据。

公开的信息包括车辆的VIN,速度,温度,版本号,无论是锁定还是不锁定,轮胎压力和警报。数据还包括其他固件信息,例如Geofense位置,可以查看者和配置。

“非常有趣的是,现场支持代理商有能力向汽车发送更新,并且最有可能修改车辆的配置。我的猜测是,这个应用程序的功能基于DOM中的不同超链接,“咖喱 写道.“我没有尝试这个,但很可能通过递增发送到Vitals端点的ID,攻击者可以提取和修改其他汽车的信息。”

“如果我是一个试图妥协的攻击者,我可能必须提交一些支持请求,但我最终能够通过查看DOM和JavaScript来伪造究竟要做什么我的环境来学习。 d想做。“他加了。

研究人员报告说,特斯拉承认它并解决它只有12个小时。低于缺陷的时间表:

  • 2019年6月20日06:27:30 UTC - 报告
  • 2019年6月20日20:35:35 UTC - Triaged,Hot Fix
  • 2019年7月11日16:07:59 UTC - 赏金和分辨率

咖喱被授予10,000美元用于报告缺陷到特斯拉。

“回顾一下,这是一个非常简单的问题,但可以理解的东西可能被忽视或以某种方式退化。虽然我不确定漏洞的确切影响,但它似乎很大,而且最不允许攻击者查看有关车辆和可能客户信息的实况信息,“咖喱队得出结论。

皮奈里格帕加尼尼

全球infosec奖项2021

我们在第9年,这些奖项非常受欢迎 - 帮助建立嗡嗡声,客户意识,销售和营销增长机会,投资机会等等。

现在申请