Súlyos sérülékenységet talált két biztonsági kutató a Tesla autóknál, írja a Bleeping Computer. Az autógyártó legújabb alkalmazásának 4.30.6-os verzióján és a Tesla szoftver 11.1-es 2024.2.7-es verzióján lévő biztonsági rés az autó kéretlen személyek által történő feloldásával és elindításával járhat.
A támadás úgy kezdődik, hogy egy Tesla töltőállomáson a támadó beállít egy Tesla Guest nevű Wi-Fi hálózatot, amely általában megtalálható a Tesla szervízközpontjaiban, így ismerik az emberek. Ezt követően Raspberry Pi-vel vagy Android telefonnal, de akár egy Mysk Flipper Zeroval is sugározható a hálózat. Amint az áldozat csatlakozik a meghamisított hálózathoz, egy hamis Tesla bejelentkezési oldalt küldenek neki, amely arra kéri, hogy a Tesla-fiókja hitelesítő adataival jelentkezzen be.
A Tesla-fiók hitelesítő adatainak megadása után az adathalász oldal egyszeri jelszót kér a fiókhoz, hogy segítsen a támadónak megkerülni a kétfaktoros hitelesítést. Ezt követően gyorsan be kell lépnie a támadónak az ellopott hitelesítő adatokkal a Tesla alkalmazásba. Az áldozat fiókjához való hozzáférés lehetővé teszi a támadó számára, hogy új Telefonkulcsot adjon hozzá. Ehhez az autó közvetlen közelében kell lenniük, mindössze néhány méterre.
A Mysk szerint egy új telefonkulcs hozzáadásához nem kell kinyitni az autót, ami jelentős biztonsági rést jelent. Tovább rontja a helyzetet, hogy az új telefonkulcs hozzáadása után a Tesla tulajdonosa nem kap értesítést erről az alkalmazáson keresztül, és nem jelenik meg figyelmeztetés sem az autó érintőképernyőjén.
🎬 With the rise of social engineering and phishing attacks thanks to #AI, Tesla fails to recognize them as a threat. We created a short demo showing the limits of what an attacker can do with the stolen credentials of a Tesla account.
SPOILER ALERT: No limits
Tesla says it’s… pic.twitter.com/CTzOjvpjke
— Mysk 🇨🇦🇩🇪 (@mysk_co) March 7, 2024
Az új telefonkulccsal a támadó kinyithatja az autót, és aktiválhatja annak összes rendszerét, így elhajthat, mielőtt a valódi tulaj rájönne, mi történt. A kutatók beszámoltak eredményeikről a Teslának, az autógyártó azonban megállapította, hogy a jelentés nem elég részletes. A lap megkeresésére cikkünk megjelenéséig nem válaszoltak.
