هکر ۱۹ ساله چگونه خودروهای تسلا را هک کرد؟

محقق امنیتی ۱۹ ساله‌‌ی آلمانی که مدعی شد توانسته از راه دور به ده‌ها خودروی تسلا دسترسی پیدا کند و با این کار به تیتر یک بسیاری از رسانه‌ها تبدیل شد، اخیراً تصمیم گرفته جزئیاتی درباره‌ی نحوه‌ی انجام این کار منتشر کند.

بر‌ اساس آنچه گیزمودو می‌نویسد، دیوید کلمبو، هکر ۱۹ ساله، با انتشار پستی در مدیوم زمان‌بندی انجام پروژه‌ی تحقیقاتی خود را به‌صورت عمومی منتشر کرده است؛ پروژه‌ای که کلمبو ادعا می‌کند در خلال آن توانسته دستورهای مختلفی روی خودروهای تسلا انجام دهد، از تنظیم حجم صدای استریوی خودرو و دست‌کاری درها گرفته تا دست‌کاری شیشه‌ها و دسترسی به ابزار Keyless Driving تسلا. دیوید کلبمو احتمالاً می‌توانسته این کارها را بدون اطلاع راننده‌ی خودرو از راه دور انجام دهد.

محقق ۱۹ ساله‌ی آلمانی می‌گوید به دلیل وجود نقصی امنیتی در یک ابزار متن‌باز به نام تسلامِیت توانسته به خودروها دسترسی پیدا کند. ابزار موردبحث به دارندگان خودروهای تسلا امکان می‌دهد با بهره‌گیری از API تسلا به داده‌هایی نظیر مصرف انرژی و تاریخچه‌ی لوکیشن خودروها دسترسی داشته باشند و روی آن‌ها نظارت کنند.

کلمبو می‌گوید توانسته شماری از کلیدهای API تسلا را تغییر کاربری دهد و از‌ طریق آن‌ها فرمان‌های خود را اجرا کند. به گفته‌ی کلمبو، این APIها به‌صورت رمزنگاری‌نشده در تسلامیت ذخیره شده بودند.

دیوید کلمبو می‌گوید: «می‌شد فرمان‌هایی را اجرا کرد که مزاحمت بسیار زیادی برای مالک تسلا ایجاد کند. حتی امکان دزدیدن تسلا وجود داشت.» این نوشته‌ی کلمبو مربوط به بخشی از گزارش افشای مسئولانه‌ی او است که برای تیم امنیتی تسلا ارسال کرد.

کلمبو می‌گوید توانسته در چند ساعت بیش از ۲۵ تسلا را در ۱۳ کشور پیدا کند. کشورهایی که خودروهای تسلا در آن مکان‌یابی شده‌اند شامل آلمان، بلژیک، فنلاند، دانمارک، بریتانیا، ایالات متحده، کانادا، ایتالیا، ایرلند، فرانسه، اتریش و سوئیس می‌شود.

کلبمو در ادامه‌ی گزارش خود می‌نویسد: «حداقل بیش از ۳۰ خودروی دیگر در چین پیدا کردم، اما واقعاً نمی‌خواستم با قوانین امنیت سایبری چین دربیفتم، به‌‌ همین‌‌ دلیل، هیچ کاری با آن‌ها نداشتم.» کلمبو می‌گوید از آنجاکه تسلا بعداً «هزاران کلید» را باطل کرده، احتمال می‌رود مشکل امنیتی بسیار گسترده‌تر از حد تصور بوده باشد.

کلمبو توانست به بخش‌های بسیار زیادی از قابلیت‌های خودروهای تسلا دسترسی پیدا کند، بااین‌‌حال اعتقاد دارد که نمی‌توانسته از راه دور خودرو را به حرکت دربیاورد یا فرمان و ترمز را دستکاری کند. کلمبو می‌گوید پس از یافتن مشکل امنیتی با تسلا و تسلامیت ارتباط برقرار کرده و به‌روزرسانی برطرف‌کننده‌ی مشکل منتشر شده است. دیوید کلمبو در توییتی می‌نویسد که می‌توانسته لوکیشن دقیق خودرو را پیدا کند و بفهمد که راننده در خودرو حضور دارد یا نه.

محقق آلمانی ۱۹ ساله می‌گوید نخستین بار در اکتبر ۲۰۲۱ (شهریور و مهر ۱۴۰۰) توانسته نقص امنیتی تسلامیت را در یک خودرو پیدا کند و سپس موفق به رؤیت این نقص امنیتی در ۲۰ خودروی دیگر در اوایل ماه جاری میلادی شده است. تصاویری که کلبمو در مقاله‌ی خود منتشر کرده با دقتی ترسناک شامل تاریخچه‌ی جابه‌جایی شماری از خودروهایی است که از این اتفاق متأثر شده‌اند.

کلمبو همچنین تصاویر پیام‌های متنی ردوبدل‌شده بین او و دارنده‌ی یکی از خودروهای تسلا را منتشر کرده است. این پیام‌های متنی نشان می‌دهند آن مالک تسلا به کلمبو اجازه داده از راه دور بوق خودرو را به صدا دربیاورد.

دیوید کلمبو جزئیات مربوط به نقص امنیتی دیگری را منتشر کرده که این بار به کلید دیجیتالی خودروهای تسلا مربوط می‌شود. این نقص امنیتی باعث شده کلمبو بتواند به آدرس ایمیل راننده‌های تسلا دسترسی پیدا کند. کلمبو در تلاشی دلگرم‌کننده به‌منظور هشدار به راننده‌هایی که خودرویشان از نقص امنیتی تسلامیت متأثر شده بود، به‌شکل تصادفی با نقصی امنیتی مواجه شد که به او امکان داد آدرس ایمیل رانندگان را پیدا کند.

در این مورد کلمبو به‌طور مشخص در تلاش برای پیدا کردن آدرس ایمیل راننده‌ها بوده، بااین‌‌حال از لحاظ تئوری می‌توان از این نقص نرم‌افزاری برای پیدا کردن ایمیل دیگر دارندگان خودروهای تسلا سوءاستفاده کرد. کلمبو می‌نویسد در ابتدا هیچ راهی برای پیدا کردن اطلاعات مربوط به مالکان تسلا نداشته اما اکنون حتی در صورتی که دسترسی‌اش باطل شده باشد می‌تواند آدرس ایمیل را پیدا کند.

کلمبو مدتی بعد از رسانه‌ای کردن هک خودروهای تسلا، یافته‌هایش را در مصاحبه‌ای با بلومبرگ در میان گذاشت و به‌طور مشخص گفت نقص امنیتی را در یکی از APIهای مربوط به کلید دیجیتالی تسلا پیدا کرده؛ این محقق می‌گوید که فوراً تیم امنیتی تسلا را از نقص امنیتی ایمیل مطلع کرده و تسلا سریعاً به‌روزرسانی جدیدی برای رفع مشکل امنیتی در‌ دسترس قرار داده است.