Meglehetősen egyszerű, egy kellően óvatlan Tesla-tulajdonos esetében nagy veszteséggel járó kibertámadási lehetőségre hívta fel a figyelmet két biztonsági kutató. Talal Haj Bakry és Tommy Mysk párosa utóbbi saját autóját, egy Model 3-at használt demonstráció gyanánt.

Az alábbi videóban szépen végigveszik a trükköt, ami alapvetően egy közbeékelődéses (Man-in-the-Middle) adathalászatra épít. Ehhez elég egy preparált nyilvános vezeték nélküli hálózatot felállítani egy olyan helyen, ahol gyakran előfordulnak teslások. Ilyesmire keresve sem találni jobb helyet, mint a cég szerte a világban működő töltőállomásai.

A Tesla Guest elnevezésű, hivatalosnak tűnő csali hálózatra tévedő célpontoktól a wifi használatához a Tesla rendszerében lévő e-mail és jelszó párosát kell bepötyögni, majd kétfaktoros azonosítás esetén az egyszeri biztonsági kódot is meg kell adni. Mindezt a közelben lévő hekker egy erre alkalmas eszközzel (a kutatók egy Flipper Zerót használtak) leolvashatja, így az egyszeri kód lejárta előtt képes belépni a célpont Tesla-fiókjába.

Innen pedig már csak egy lépés egy újabb telefon regisztrálása, amihez semmiféle egyéb adat megadása, vagy extra hitelesítési eljárásra nincs szükség. A mobil innentől teljes értékű kulcsként funkcionál az autóhoz, ami így könnyedén nyithatóvá és indíthatóvá válik az elkövető számára.  

A kutatóknak alapvetően két fő problémájuk volt a Tesla jelenlegi rendszerével. Az egyik, hogy az új telefonos kulcs regisztrálásáról sem az autó kijelzőjén, sem a valódi tulajdonos telefonján nem jelent meg értesítés. A másik, hogy bár az autó használati kézikönyve megemlíti, hogy új mobilos kulcs hitelesítéséhez szükség van arra az RFID kártyára, amely a Teslák kezelésének alternatív módját adja, ezt az ellenőrzését nem végezte el a rendszer.

Utóbbi már csak azért is kellemetlen, mert így az elkövető a kártya hiányában és az autón kívülről is képes új telefonos kulcsot gyártani magának, amivel aztán könnyedén elhajthat.

Minden a legnagyobb rendben!

A kutatók természetesen értesítették a Teslát a felfedezésükről, továbbá javaslatokat is tettek az információbiztonsági szint erősítésére. Például segíthetne, ha egy új telefonkulcs hozzáadásakor a fizikai Tesla Card Key ellenőrzése is részét képezné a procedúrának. 

A vállalat meglehetősen furcsán reagált. A gyártó közölte, hogy az általuk lefolytatott vizsgálat alapján minden úgy működik, ahogy az elvárható, egyébként pedig a Tesla Model 3 használati útmutatójában nem szerepel, hogy a telefonkulcs hozzáadásához kulcskártya szükséges.

Mivel a cég egyelőre nem reagált az üggyel kapcsolatban a sajtó megkeresésére, mindebből maximum annyit lehet megállapítani, hogy nem csupán a Teslák kiberbiztonsága áll gyenge lábakon, hanem az érintett alkalmazottak szövegértési képessége is.