Уязвимость позволяет получить информацию о водителях, отслеживать их локацию, перехватывать контроль над окнами, дверями, фарами и аудио, но не управлять автомобилями.
Дэвид Коломбо, 19-летний исследователь кибербезопасности из немецкого города Динкельсбюль, проводил аудит Tesla по заказу неназванной французской компании. Он выяснил, что стороннее ПО, установленное в некоторых машинах компании, содержит серьёзную уязвимость.
10 января Коломбо рассказал об уязвимости в твиттере: по его словам, это единственный способ сообщить об уязвимости владельцам электрокаров, поскольку он не смог найти их контактную информацию. К моменту выхода заметки Коломбо получил доступ к 25 автомобилям из 13 стран Европы и Северной Америки.
По словам Коломбо, угроза безопасности связана не с электромобилями Tesla или сетью компании, а с программным обеспечением с открытым исходным кодом, которое собирает и анализирует данные об активности электрокаров. Название уязвимого ПО не раскрывается, поскольку его разработчики пока не исправили ошибку.
Анализ, проведённый Коломбо, показал, что некоторые Tesla могут принимать и выполнять удалённые команды. Например, Коломбо может включить в чужой машине музыку, звуковой сигнал и фары, открыть окна или двери, отключить охранный режим или даже завести двигатель. Кроме того, ПО позволяет отследить точное местоположение машины.
Коломбо передал Bloomberg скриншоты приватной переписки в твиттере: из них следует, что владелец Tesla позволил Коломбо удаленно посигналить в машине, чтобы подтвердить уязвимость. При этом Коломбо не удалось получить удалённый доступ к управлению машиной — нажимать на газ или тормозить.
Коломбо разыскивает владельцев уязвимых Tesla и отмечает, что таких машин могло быть «больше ста». Ему уже удалось связаться с тремя владельцами электромобилей — в Германии, США и Ирландии.
Государственная администрация контроля безопасности на дорогах США, по словам её представителя, связалась с компанией: найденную брешь также анализирует агентство по кибербезопасности. 12 января Коломбо рассказал, что служба безопасности Tesla начала расследование.