Cercetătorii folosesc o stație de încărcare WiFi falsă pentru a intra și a vă fura Tesla

152

Doi cercetători au găsit o modalitate de a folosi ingineria socială pentru a fura potențial Teslas parcate la stațiile de încărcare.Kena Betancur/Getty Images

Hackerii au o nouă modalitate de a vă fura Tesla.
Cercetătorii au creat o rețea WiFi Tesla falsă pentru a fura datele de conectare ale proprietarului și pentru a configura o nouă cheie de telefon.
Echipele au găsit anterior și alte vulnerabilități de hacking în Teslas-urile de înaltă tehnologie.

Dacă dețineți o Tesla, ar trebui să fiți foarte atenți la conectarea la rețelele WiFi de la stațiile de încărcare Tesla.

Cercetătorii în domeniul securității Tommy Mysk și Talal Haj Bakry de la Mysk Inc. au publicat un videoclip pe YouTube în care explică cât de ușor le poate fi hackerilor să fugă cu mașina ta folosind un truc inteligent de inginerie socială.

Iată cum funcționează.

Multe stații de încărcare Tesla – dintre care există peste 50.000 în lume – oferă o rețea WiFi numită de obicei „Tesla Guest”, la care proprietarii de Tesla se pot conecta și pe care o pot folosi în timp ce așteaptă ca mașina lor să se încarce, potrivit videoclipului lui Mysk.

Folosind un dispozitiv numit Flipper Zero – un instrument simplu de hacking de 169 de dolari – cercetătorii și-au creat propria rețea WiFi „Tesla Guest”. Atunci când o victimă încearcă să acceseze rețeaua, aceasta este direcționată către o pagină falsă de conectare la Tesla creată de hackeri, care apoi îi fură numele de utilizator, parola și codul de autentificare cu doi factori direct de pe site-ul duplicat.

Deși Mysk a folosit un Flipper Zero pentru a-și configura propria rețea WiFi, această etapă a procesului poate fi realizată și cu aproape orice dispozitiv wireless, cum ar fi un Raspberry Pi, un laptop sau un telefon mobil, a declarat Mysk în videoclip.

Odată ce hackerii au furat credențialele contului Tesla al proprietarului, le pot folosi pentru a se conecta la aplicația Tesla reală, dar trebuie să o facă rapid, înainte ca codul 2FA să expire, explică Mysk în videoclip.

Una dintre caracteristicile unice ale vehiculelor Tesla este faptul că proprietarii își pot folosi telefoanele ca o cheie digitală pentru a debloca mașina, fără a avea nevoie de o cartelă fizică.

După ce s-au conectat la aplicație cu datele de identificare ale proprietarului, cercetătorii au configurat o nouă cheie de telefon în timp ce stăteau la câțiva metri de mașina parcată.

Hackerii nici măcar nu ar fi avut nevoie să fure mașina chiar în acel moment; ar fi putut urmări locația Tesla din aplicație și să meargă să o fure mai târziu.

Mysk a spus că proprietarul Tesla neștiutor nici măcar nu este notificat atunci când este configurată o nouă cheie de telefon. Și, deși manualul proprietarului Tesla Model 3 spune că este necesară o cartelă fizică pentru a configura o nouă cheie de telefon, Mysk a constatat că nu era cazul, potrivit videoclipului.

„Acest lucru înseamnă că, cu un e-mail și o parolă divulgate, un proprietar și-ar putea pierde vehiculul Tesla. Este o nebunie”, a declarat Tommy Mysk pentru Gizmodo. „Atacurile de phishing și de inginerie socială sunt foarte frecvente în prezent, mai ales odată cu creșterea tehnologiilor de inteligență artificială, iar companiile responsabile trebuie să ia în considerare astfel de riscuri în modelele lor de amenințare.”

Când Mysk a raportat problema către Tesla, compania a răspuns că a investigat și a decis că nu este o problemă, a declarat Mysk în videoclip.

Tesla nu a răspuns la solicitarea de comentarii a Business Insider.

Tommy Mysk a declarat că a testat metoda pe propriul vehicul de mai multe ori și a folosit chiar și un iPhone resetat care nu fusese niciodată cuplat la vehicul, potrivit Gizmodo. Mysk a susținut că a funcționat de fiecare dată.

Mysk a declarat că a efectuat experimentul doar în scopuri de cercetare și a spus că nimeni nu ar trebui să fure mașini (suntem de acord).

La finalul videoclipului lor, Mysk a spus că problema ar putea fi rezolvată dacă Tesla ar face obligatorie autentificarea fizică a cardului de chei și ar notifica proprietarii atunci când este creată o nouă cheie de telefon.

Aceasta nu este prima dată când cercetătorii pricepuți au găsit modalități relativ simple de a intra în Teslas.

În 2022, un tânăr de 19 ani a declarat că a spart 25 de Teslas din întreaga lume (deși vulnerabilitatea specifică a fost remediată între timp); mai târziu, în același an, o companie de securitate a găsit o altă modalitate de a intra în Teslas de la sute de kilometri distanță.

Sursa: www.autoblog.com

Citește și