Ataque de phishing exposto!

Uma ameaça potencial aos proprietários de automóveis Tesla foi destacada por dois pesquisadores de segurança da ciência da computação: Talal Haj Bakry e Tommy Mysk demonstraram a possibilidade de conduzir um ataque de phishing Man-in-the-Middle (MiTM) para comprometer contas Tesla, obter acesso a carros e poder até começar.

O ataque foi testado na versão 4.30.6 do aplicativo Tesla 4.30.6 e no software de bordo 11.1 2024.2.7 e aproveita uma vulnerabilidade no procedimento de adição de uma nova chave de telefone associada ao veículo.

A metodologia desenvolvida por nossa equipe envolve o estabelecimento de um ponto de acesso sem fio não autorizado denominado"Tesla Guest", que é um identificador frequentemente utilizado nas instalações de serviço da Tesla e pode, conseqüentemente, aparecer como uma entidade confiável e familiar para usuários desavisados. Assim que uma vítima se associar involuntariamente a esta rede, será direcionada para uma página de login falsa que exigirá a introdução das credenciais da sua conta Tesla, incluindo quaisquer códigos pertinentes a um processo de autenticação multifator.

Os investigadores utilizaram um gadget FlipperZero para retransmitir o sinal WiFi, permitindo-lhes monitorar os dados ao vivo inseridos pelo alvo, incluindo suas credenciais de login e códigos de acesso temporários. Embora Bakry e Mysk reconheçam esta capacidade, eles também enfatizam que qualquer dispositivo com capacidade de estabelecer uma rede sem fio poderia ser empregado de forma semelhante para tais fins.

O invasor explora essa vulnerabilidade para obter as credenciais de login da vítima, utilizando posteriormente o aplicativo oficial da Tesla para obter acesso não autorizado à conta da vítima. Além disso, o agressor pode aproveitar esta metodologia para localizar o paradeiro do veículo através da mesma plataforma. O processo ocorre perto do automóvel sem exigir entrada física no veículo trancado ou a presença do proprietário autêntico do telefone que está dentro dos limites do veículo.

A questão mais importante apontada pelos investigadores diz respeito à ausência de procedimentos de verificação para a chave do telefone recém-adicionada. Nem há qualquer exigência de autenticação usando a chave do cartão associada ao automóvel, nem são enviadas notificações através do aplicativo autorizado ou da tela sensível ao toque do veículo ao proprietário genuíno após a ativação da chave não autorizada. Consequentemente, esta chave ilegítima funciona de forma eficaz e é considerada operacional sem levantar quaisquer sinais de alerta.

Bakry e Mysk divulgaram o resultado de sua investigação sobre Tesla ao fabricante, porém, a corporação manteve a perspectiva de que as descobertas feitas pelos pesquisadores não englobavam uma única vulnerabilidade, mas foram consideradas como conduta antecipada. Além disso, a Tesla enfatizou que o guia do utilizador do veículo não indica explicitamente a necessidade de uma chave de cartão para emparelhar uma chave de telefone, embora este descuido possa ter repercussões graves em relação a uma potencial entrada não autorizada e roubo de carros.

Permanece ambíguo se a Tesla planeja emitir atualizações over-the-air que incorporarão mais precauções de segurança para evitar futuros incidentes de natureza que demonstrou ser bastante simples de executar.

*️⃣ Link da fonte: