通过特斯拉漏洞赏金计划砸碎挡风玻璃，赢取 10,000 美元

我有机会破解的最有趣的东西之一是特斯拉 Model 3。它有内置网络浏览器、免费高级 LTE 和无线软件更新。它是一台联网的带轮计算机，行驶速度非常快。

今年年初，我决定买一辆，玩弄它和驾驶它都玩得很开心。我花了很长时间坐在车库里试图让它做不该做的事情，但幸运的是，我得到了一些有趣的东西。

2019 年 4 月

我花了很多时间研究的第一件事就是汽车的“命名您的车辆”功能。该功能允许您为您的汽车设置昵称，并将信息保存到您的帐户中，这样当您收到推送通知（例如充电完成）时，您就可以在移动应用程序上看到它。

中心方块右上角的“命名您的车辆”按钮

最初，我将我的车命名为“%x.%x.%x.%x”，看看它是否像 2011 款宝马 330i 一样容易受到格式字符串攻击，但遗憾的是它并没有真正采取任何行动

在花了更多时间处理输入后，我发现输入的允许内容长度非常长。我决定将特斯拉命名为我的 XSS 猎手有效载荷，并继续摆弄汽车上的其他功能。

我设置这个名字的想法是，它可能会出现在特斯拉内部的车辆管理网站上，或者可能出现在我账户中的某个功能中

我花了很多时间摆弄的另一件事是内置的 Web 浏览器。我无法让它做任何有趣的事情，但尝试让它加载文件或奇怪的 URI 却很有趣。

那天晚上我什么也没找到，所以我放弃了，并且忘记了我已经将我的汽车名称设置为盲 XSS 负载。

2019 年 6 月

在一次公路旅行中，一块巨大的石头不知从哪里掉下来，砸碎了我的挡风玻璃。

我使用特斯拉的应用程序支持来设置预约并继续驾驶。

第二天，我收到了一条关于这个问题的短信，说有人正在调查此事。我检查了我的 XSS 猎手，发现了一些非常有趣的东西。

易受攻击的页面 URLhttps://redacted.teslamotors.com/redacted/5057517/redacted执行来源https://redacted.teslamotors.comRefererhttps://redacted.teslamotors.com/redacted/5YJ31337

其中一名负责处理我破裂的挡风玻璃的特工在“redacted.teslamotors.com”域名的上下文中发射了我的 XSS 猎手负载。

这真是太令人兴奋了。

XSS hunter 附带的截图显示，该页面用于查看车辆的重要统计数据，并通过 URL 中的增量车辆 ID 进行访问。引用者标头以我的车辆的 VIN 号作为参数。

XSS 攻击了用于拉动管理特斯拉汽车的仪表板。

附加的 XSS 猎手屏幕截图中显示了有关我的汽车的最新信息，例如速度、温度、版本号、轮胎压力、是否被锁定、警报以及更多小信息。

VIN: 5YJ3E13374KF2313373Car Type: 3 P74DBirthday: Mon Mar 11 16:31:37 2019Car Version: develop-2019.20.1-203-991337dCar Computer: iceSOE / USOE: 48.9, 48.9 %SOC: 54.2 %Ideal energy remaining: 37.2 kWhRange: 151.7 miOdometer: 4813.7 milesGear: DSpeed: 81 mphLocal Time: Wed Jun 19 15:09:06 2019UTC Offset: -21600Timezone: Mountain Daylight TimeBMS State: DRIVE12V Battery Voltage: 13.881 V12V Battery Current: 0.13 ALocked?: trueUI Mode: comfortLanguage: EnglishService Alert: 0X0