Исследователи в области кибербезопасности Талал Бакри и Томми Мыск продемонстрировали фишинговую атаку, которая позволяет скомпрометировать аккаунт Tesla
Злоумышленник может развернуть на зарядной станции Tesla сеть Wi-Fi под названием Tesla Guest — именно такой SSID обычно используется в сервисных центрах марки. Как только жертва подключится к сети, она увидит поддельную страницу авторизации с просьбой войти в систему по данным аккаунта Tesla. После ввода данных их видит на своем устройстве злоумышленник — на Flipper Zero или Raspberry Pi.
Затем фишинговая страница запрашивает одноразовый пароль. Злоумышленнику нужно авторизоваться в приложении по украденным учетным данным до истечения срока действия OTP. Зайдя в аккаунт жертвы, хакер сможет отслеживать местоположение электромобиля в реальном времени.
Но это не самая большая проблема. Доступ к аккаунту позволит злоумышленнику удаленно добавить новый Phone Key — причем без разблокировки машины или нахождения смартфона в салоне. После этого злоумышленник получает возможность открыть и угнать электрокар.
У атаки есть ограничения — взломанный аккаунт, с которого добавляется новый Phone Key, должен принадлежать основному водителю, а смартфон владельца должен быть выключен или находиться вне зоны доступа электромобиля Tesla. Кибертака работает даже с последними версиями приложения Tesla (версия 4.30.6) и програмного обеспечения машины (версия 11.1 2024.2.7).
Здесь мы рассказываем, как устроены электромобили Tesla:
Unsplash