Исследователи Талал Хадж Бакри и Томми Мыск продемонстрировали фишинговую MiTM-атаку, которая позволяет скомпрометировать учётную запись Tesla, разблокировать автомобиль и запустить его. Атака работает в том числе и с последними версиями приложения Tesla (версия 4.30.6) и ПО Tesla (версия 11.1 2024.2.7).
Как показали Бакри и Мыск, злоумышленник может развернуть на зарядной станции Tesla сеть Wi-Fi под названием Tesla Guest (такой SSID обычно встречается в сервисных центрах Tesla). Как только жертва подключается к сети, она видит поддельную страницу авторизации с просьбой войти в систему по данным аккаунта Tesla. Всё, что жертва вводит на фишинговой странице, злоумышленник может видеть на своём устройстве. Мыск использовал Flipper Zero для трансляции сети Wi-Fi, но отмечает, что то же самое можно сделать с помощью Raspberry Pi или других устройств, оснащённых функцией точки доступа Wi-Fi.
После ввода учётных данных фишинговая страница запрашивает одноразовый пароль. Злоумышленнику необходимо авторизоваться в приложении по украденным учётным данным до истечения срока действия OTP. Зайдя в аккаунт, он может отслеживать местоположение автомобиля в режиме реального времени.
Ещё одна серьёзная проблема заключается в том, что доступ к чужому аккаунту Tesla позволит злоумышленнику добавить новый Phone Key (функция, позволяющая через приложение Tesla блокировать и разблокировать автомобиль по Bluetooth). Мыск отмечает, что добавление нового Phone Key через приложение не требует разблокировки автомобиля или нахождения смартфона в салоне, что существенно повышает риски. С помощью нового Phone Key злоумышленник получает возможность разблокировать и угнать автомобиль.
Исследователи отмечают, что у этой атаки есть ограничения: так, взломанный аккаунт, с которого добавляется новый Phone Key, должен принадлежать основному водителю. А чтобы атака сработала, смартфон владельца должен быть выключен или находиться вне зоны доступа автомобиля.