Znajdują sposób na zhakowanie i kradzież Tesli

Tesla od dawna przechwalała się, że jej samochody są projektowane tak, aby były odporne na kradzież. Jeśli ktoś się do niego włamie, jego prawowici właściciele mogą go zdalnie zamknąć; Jeśli ktoś go zarysuje lub uderzy, funkcja Sentinel zarejestruje scenę i wyśle ​​ją do smartfona właściciela. Jednak grupa hakerów twierdzi, że znalazła sposób na osiągnięcie niemożliwego: ukraść Teslę.

Według tego, co donosił AutoBlogBadacze ds. bezpieczeństwa Tommy Miske i Talal Haj Bakri dolali oliwy do ognia ataku rządu kanadyjskiego na narzędzie wielofunkcyjne Flipper Zero, zamieszczając film pokazujący, że rzeczywiście można go użyć do kradzieży Tesli Model 3, chociaż w ataku, który działa również przy użyciu dowolne inne urządzenie obsługujące sieć Wi-Fi i umożliwiające hostowanie strony internetowej oraz działanie jako bezprzewodowy punkt dostępowy.

„Ataki typu phishing i socjotechnika nie są powszechne. Jednak osobie atakującej, której uda się uzyskać ujawnione lub skradzione dane uwierzytelniające, nie należy mieć wszystkiego” – napisali Miske i Bakri. „[Nuestra investigación] Pokazuje, że Tesla nie chroni swoich użytkowników ani pojazdów przed kradzieżą danych uwierzytelniających. „Niestety osoba atakująca, która w jakiś sposób uzyska dane uwierzytelniające konto Tesli pojazdu, może przejąć kontrolę nad pojazdem i odjechać”.

Podobnie jak wiele nowoczesnych samochodów, samochody Tesli zaprojektowano w oparciu o system otwierania i uruchamiania bezkluczykowy: chociaż każdy pojazd jest wyposażony w kluczyki przypominające kartę, po zakupie zachęca się właściciela do zarejestrowania swojego telefonu, co umożliwi odblokowanie i uruchomienie samochodu bez konieczności używania kluczyka. potrzeba tego. Nie noś nic więcej. Jak wyjaśniają Misk i Bakri, problem pojawia się, gdy wyciekną Twoje dane uwierzytelniające do aplikacji Tesla.

„Głównym problemem związanym z projektem jest to, że Tesla wymaga jedynie adresu e-mail i hasła do konta, a także fizycznej obecności w pobliżu pojazdu Tesli, aby aktywować klawisz telefonu” – napisali oboje. „Po włączeniu klucza telefonu użytkownik lub atakujący ma pełną kontrolę nad pojazdem. Przepływ danych nie wymaga od użytkownika przebywania w pojeździe ani użycia innego czynnika fizycznego do uwierzytelnienia, takiego jak klucz do karty Tesla lub zeskanowanie kodu QR, który wyświetla ekran dotykowy Tesli.”

Kontynuuj czytanie historii

Wymaga to jednak od atakującego znajomości nazwy użytkownika i hasła do aplikacji Tesla i tu z pomocą przychodzi Flipper Zero. Flipper Zero to wielofunkcyjne, przenośne urządzenie przypominające Tamagotchi, opracowane do współpracy z systemami kontroli dostępu. Urządzenie potrafi odczytywać, kopiować i emulować chipy NFC, takie jak te znajdujące się w smartfonach, pilotach radiowych, iButtonach i cyfrowych kluczach dostępu.

Korzystając z opcjonalnej karty Wi-Fi, badacze demonstrują, w jaki sposób Flipper Zero może zostać wykorzystany do wdrożenia złośliwego bezprzewodowego hotspotu i skierowania użytkowników na fałszywą stronę logowania Tesli. Po wprowadzeniu danych uwierzytelniających są one wyświetlane na ekranie Flipper Zero i wykorzystywane do żądania jednorazowego kodu, po którym osoba atakująca może skonfigurować swój własny telefon jako klucz Tesli bez dalszej interakcji ze strony ofiary.

Demonstracja ataku, która według Miska i Bakriego została odrzucona przez Teslę jako „zamierzone zachowanie”, miała miejsce po ogłoszeniu przez rząd Kanady planów wprowadzenia zakazu Flipper Zero i podobnych urządzeń w celu powstrzymania fali kradzieży samochodów telefonicznych. Według ówczesnego stanu Flipper Devices, nikt nie był zaangażowany w Flipper Zero. Chociaż ten atak właśnie to robi, nie wykorzystuje niczego specjalnego w możliwościach Flipper Zero: każde urządzenie, które może transmitować hotspot Wi-Fi i udostępniać stronę internetową, będzie w stanie przeprowadzić ten sam atak.

Pełen atak pokazano na filmie umieszczonym powyżej oraz na kanale YouTube Miska; Tesla nie skomentowała publicznie widocznej wrażliwości swoich pojazdów.

Więcej aktualności, które mogą Cię zainteresować:

Wideo | Musk powiedział, że wartość samochodów Tesli wzrośnie, ale tak nie jest