Meglehetősen egyszerű, egy kellően óvatlan Tesla-tulajdonos esetében nagy veszteséggel járó kibertámadási lehetőségre hívta fel a figyelmet két biztonsági kutató. Talal Haj Bakry és Tommy Mysk párosa utóbbi saját autóját, egy Model 3-at használt demonstráció gyanánt.
Az alábbi videóban szépen végigveszik a trükköt, ami alapvetően egy közbeékelődéses (Man-in-the-Middle) adathalászatra épít. Ehhez elég egy preparált nyilvános vezeték nélküli hálózatot felállítani egy olyan helyen, ahol gyakran előfordulnak teslások. Ilyesmire keresve sem találni jobb helyet, mint a cég szerte a világban működő töltőállomásai.
A Tesla Guest elnevezésű, hivatalosnak tűnő csali hálózatra tévedő célpontoktól a wifi használatához a Tesla rendszerében lévő e-mail és jelszó párosát kell bepötyögni, majd kétfaktoros azonosítás esetén az egyszeri biztonsági kódot is meg kell adni. Mindezt a közelben lévő hekker egy erre alkalmas eszközzel (a kutatók egy Flipper Zerót használtak) leolvashatja, így az egyszeri kód lejárta előtt képes belépni a célpont Tesla-fiókjába.
Innen pedig már csak egy lépés egy újabb telefon regisztrálása, amihez semmiféle egyéb adat megadása, vagy extra hitelesítési eljárásra nincs szükség. A mobil innentől teljes értékű kulcsként funkcionál az autóhoz, ami így könnyedén nyithatóvá és indíthatóvá válik az elkövető számára.
A kutatóknak alapvetően két fő problémájuk volt a Tesla jelenlegi rendszerével. Az egyik, hogy az új telefonos kulcs regisztrálásáról sem az autó kijelzőjén, sem a valódi tulajdonos telefonján nem jelent meg értesítés. A másik, hogy bár az autó használati kézikönyve megemlíti, hogy új mobilos kulcs hitelesítéséhez szükség van arra az RFID kártyára, amely a Teslák kezelésének alternatív módját adja, ezt az ellenőrzését nem végezte el a rendszer.
Utóbbi már csak azért is kellemetlen, mert így az elkövető a kártya hiányában és az autón kívülről is képes új telefonos kulcsot gyártani magának, amivel aztán könnyedén elhajthat.
Minden a legnagyobb rendben!
A kutatók természetesen értesítették a Teslát a felfedezésükről, továbbá javaslatokat is tettek az információbiztonsági szint erősítésére. Például segíthetne, ha egy új telefonkulcs hozzáadásakor a fizikai Tesla Card Key ellenőrzése is részét képezné a procedúrának.
A vállalat meglehetősen furcsán reagált. A gyártó közölte, hogy az általuk lefolytatott vizsgálat alapján minden úgy működik, ahogy az elvárható, egyébként pedig a Tesla Model 3 használati útmutatójában nem szerepel, hogy a telefonkulcs hozzáadásához kulcskártya szükséges.
Mivel a cég egyelőre nem reagált az üggyel kapcsolatban a sajtó megkeresésére, mindebből maximum annyit lehet megállapítani, hogy nem csupán a Teslák kiberbiztonsága áll gyenge lábakon, hanem az érintett alkalmazottak szövegértési képessége is.
Biztonságos M2M kommunikáció nagyvállalti környezetben a Balasystól
A megnövekedett támadások miatt az API-k biztonsága erősen szabályozott és folyamatosan auditált terület, amelynek védelme a gépi kommunikáció (M2M) biztonságossá tételén múlik.
CIO KUTATÁS
TECHNOLÓGIÁK ÉS/VAGY KOMPETENCIÁK?
Az Ön véleményére is számítunk a Corvinus Egyetem Adatelemzés és Informatika Intézetével közös kutatásunkban »
Kérjük, segítse munkánkat egy 10-15 perces kérdőív megválaszolásával!
Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak