TeslaMens opplåsing av kjøretøy med smarttelefonapper i stedet for fysiske nøkler gir betydelige fordeler, det utvider også angrepsoverflaten betydelig.
Sikkerhetsforskere har oppdaget en metode som bruker en $169 Flipper Zero-enhet for å lure Tesla-eiere til å gi fra seg kontrollen over bilene sine til en ondsinnet tredjepart, slik at kjøretøyet kan låses opp og til og med kjørt bort.
Dessuten: 7 hackingverktøy som ser ufarlige ut, men som kan gjøre reell skade
Forskerne Tommy Mysk og Talal Haj Bakry fra Mysk Inc har utviklet en metode for å lure en Tesla-eier til å overlevere kjøretøyets påloggingsinformasjon: En angriper ville bruke Flipper Zero og et Wi-Fi-utviklingskort for å kringkaste en falsk Tesla-gjest-Wi – Påloggingsside for Fi-nettverk — "Tesla Guest" er navnet gitt til Wi-Fi-nettverk ved servicesentre — og bruk deretter disse legitimasjonene til å logge på eierens konto og opprette nye virtuelle “nøkler” til bilen.
Alt som eieren skriver inn på den falske påloggingssiden — brukernavn, passord og tofaktorautentiseringskode — blir fanget opp og vist på Flipper Zero.
Her er en gjennomgang av prosessen.
Dette angrepet omgår også tofaktorautentiseringen fordi den falske Tesla-gjesten Wi- Fi-nettverkspåloggingssiden ber om tofaktorautentiseringskoden som angriperen deretter bruker for å få tilgang til kontoen. Dette betyr at hackeren må jobbe raskt og kunne be om og deretter bruke den koden raskt for å få tilgang til kontoen.
Vil det fysiske nøkkelkortet som Tesla ga deg beskytte deg mot dette angrepet? I følge brukermanualen skal det, fordi dette “nøkkelkortet brukes til å “autentisere”; telefonnøkler for å fungere med Model 3 og for å legge til eller fjerne andre nøkler." Men ifølge Mysk er dette ikke tilfelle.
Også: De beste mobile VPN-ene: Eksperttestet
Mysk sa at de henvendte seg til Tesla for å få en kommentar om denne sårbarheten og ble fortalt at selskapet hadde “undersøkt og fastslått at dette er den tiltenkte oppførselen”," noe som er bekymringsfullt.
Mysk anbefaler at Tesla gjør det obligatorisk å bruke nøkkelkortet for å lage nye nøkler i appen, og at eiere bør varsles når nye nøkler opprettes.
Mens Mysk og Bakry bruker en Flipper Zero her, er det mange andre verktøy som kan brukes til å utføre dette angrepet, for eksempel en Wi-Fi Pineapple eller Wi-Fi Nugget. < /p>
ZDNET har bedt Tesla om en kommentar, og vi oppdaterer denne artikkelen med deres svar.
Også: Cybersecurity 101: Alt om hvordan du kan beskytte personvernet ditt og holde deg trygg på nettet
Hvordan beskytter du deg mot denne typen angrep? Først, ikke få panikk. Dette angrepet vil neppe være utbredt: Angriperen må være nær kjøretøyet ditt og utføre påloggingen til Tesla-kontoen din i sanntid.
For det andre, merk at du ikke gjør det må angi din tofaktorautentiseringskode for å kunne koble til Teslas gjeste-Wi-Fi-konto. Hvis du er i tvil, unngå gratis Wi-Fi.