Знайшли вразливість, через яку можна викрасти Tesla

З’явився новий спосіб викрасти Tesla біля станцій Supercharger: створивши фальшиву мережу WiFi Tesla

Програмісти й раніше вже знаходили хакерські вразливості у Tesla. Варто бути особливо обережними при вході в мережу WiFi на зарядних станціях Tesla

Інженери з безпеки Томмі Майск (Tommy Mysk) і Талал Хадж Бакрі (Talal Haj Bakry) з Mysk Inc. опублікували на YouTube відео, в якому пояснюють, як легко хакери можуть втекти з вашим автомобілем за допомогою хитрого трюку:

Як це працює?

Багато зарядних станцій Tesla, яких у світі налічується понад 50 тисяч, пропонують мережу WiFi, яка зазвичай називається “Tesla Guest”, до якої власники Tesla можуть увійти і користуватися нею, поки їхній автомобіль зарядиться

Використовуючи пристрій під назвою Flipper Zero – простий хакерський інструмент вартістю $169 – дослідники створили власну мережу WiFi “Tesla Guest”. Коли жертва намагається отримати доступ до мережі, вона потрапляє на фальшиву сторінку входу в систему Tesla, створену хакерами, які потім викрадають її ім’я користувача, пароль і код двофакторної автентифікації безпосередньо з сайту-дубліката

Хоча Майск використовував Flipper Zero для налаштування власної мережі WiFi, цей етап процесу також можна виконати за допомогою майже будь-якого бездротового пристрою, наприклад, Raspberry Pi, ноутбука або мобільного телефону, – говорить Майск у відеоролику

Після того, як хакери викрали облікові дані до облікового запису власника Tesla, вони можуть використати їх для входу в справжній додаток Tesla. Але вони повинні зробити це швидко, поки не закінчився термін дії коду 2FA

Однією з унікальних особливостей автомобілів Tesla є те, що власники можуть використовувати свої телефони в якості цифрового ключа для розблокування автомобіля без необхідності мати фізичну ключ-карту

Увійшовши в додаток за допомогою облікових даних власника, дослідники створили новий телефонний ключ, перебуваючи на відстані кількох метрів від припаркованого автомобіля

Хакерам навіть не потрібно було викрадати автомобіль прямо зараз; вони могли відстежити місцезнаходження Tesla через додаток і викрасти його пізніше

Майск каже, що власник Tesla, який нічого не підозрює, навіть не отримує повідомлення про встановлення нового телефонного ключа. І хоча в інструкції з експлуатації Tesla Model 3 сказано, що для встановлення нового ключа потрібна фізична картка, Майск виявив, що це не так

“Це означає, що через витік електронної пошти та пароля власник може втратити свою Tesla. Це божевілля”, – сказав Томмі Майск в інтерв’ю Gizmodo. “Фішинг і атаки на основі соціальної інженерії сьогодні дуже поширені, особливо з розвитком технологій штучного інтелекту, і відповідальні компанії повинні враховувати такі ризики”

Коли Майск повідомив про проблему в Tesla, компанія відповіла, що провела розслідування і вирішила, що це не є проблемою

Томмі Майск сказав, що він неодноразово тестував цей метод на власному автомобілі і навіть використовував скинутий iPhone, який ніколи раніше не був пов’язаний з автомобілем, повідомляє Gizmodo. Майск стверджує, що це спрацювало кожного разу

Майск сказав, що експеримент проводився виключно в дослідницьких цілях, і заявив, що ніхто не повинен викрадати автомобілі 

В кінці відео Майск заявив, що проблему можна вирішити, якщо Tesla зробить обов’язковою аутентифікацію за допомогою фізичної картки-ключа і буде повідомляти власників про створення нового ключа для телефону

Це не перший випадок, коли кмітливі хакери знаходять відносно прості способи зламати Tesla

У 2022 році 19-річний хлопець заявив, що зламав 25 Tesla по всьому світу (хоча конкретна вразливість була виправлена). Пізніше того ж року охоронна компанія знайшла ще один спосіб зламати Tesla. Причому дистанційно, за сотні кілометрів від електромобіля