Два исследователя безопасности обнаружили серьезную уязвимость в автомобилях Tesla, пишет Bleeping Computer. Уязвимость в последнем приложении автопроизводителя версии 4.30.6 и программном обеспечении Tesla версии 11.1 2024.2.7 может позволить посторонним лицам разблокировать и завести автомобиль.
Атака начинается с того, что злоумышленник настраивает гостевую сеть Wi-Fi Tesla на зарядной станции Tesla, которая широко известна людям в сервисных центрах Tesla. После этого сеть можно будет транслировать с помощью Raspberry Pi, телефона Android или даже Mysk Flipper Zero. Как только жертва подключается к поддельной сети, ей отправляется поддельная страница входа в Tesla с просьбой войти в систему, используя учетные данные своей учетной записи Tesla.
После ввода учетных данных вашей учетной записи Tesla фишинговый сайт запрашивает одноразовый пароль для учетной записи, чтобы помочь злоумышленнику обойти двухфакторную аутентификацию. После этого злоумышленнику необходимо быстро войти в приложение Tesla с украденными учетными данными. Доступ к учетной записи жертвы позволяет злоумышленнику добавить новый PhoneKey. Для этого им необходимо находиться в непосредственной близости от автомобиля, всего в нескольких метрах.
По словам Мыска, добавление нового ключа телефона не требует разблокировки автомобиля, что является серьезным нарушением безопасности. Что еще хуже, после добавления нового ключа телефона владелец Tesla не получит уведомление через приложение или предупреждение на сенсорном экране автомобиля.
🎬 Благодаря развитию социальной инженерии и фишинговым атакам #ИИТесла не может признать в них угрозу. Мы создали короткую демонстрацию, показывающую пределы того, что злоумышленник может сделать с украденными учетными данными учетной записи Tesla.
СПОЙЛЕР: ограничений нет.
Тесла говорит, что это… pic.twitter.com/CTzOjvpjke
— Мыск 🇨🇦🇩🇪 (@mysk_co) 7 марта 2024 г.
С помощью нового ключа от телефона злоумышленник сможет разблокировать автомобиль и активировать все его системы, что позволит ему уехать до того, как настоящий владелец поймет, что произошло. Исследователи сообщили о своих выводах компании Tesla, но автопроизводитель обнаружил, что отчет недостаточно подробен. На запросы газеты они не ответили до публикации нашей статьи.