Pesquisadores provam que é possível roubar um Tesla com um Flipper Zero!
Um Pinball Zero e pronto-@ Iv-olga/Shutterstock
Uma vulnerabilidade descoberta recentemente no aplicativo Tesla permite que hackers acessem contas Tesla usando um simples ataque de phishing por meio de um Flipper Zero.
O triunfo dos veículos elétricos é inegável; no entanto, este sucesso tem um custo, como evidenciado pela suscetibilidade destes veículos a ataques cibernéticos. Recentemente, dois especialistas em segurança demonstraram a sua capacidade de comprometer contas Tesla, permitindo o acesso não autorizado e o arranque remoto de automóveis através de um simples esquema de phishing man-in-the-middle, utilizando um dispositivo conhecido como Flipper Zero.
Embora a Tesla ainda não tenha reconhecido esta vulnerabilidade como tal, ela representa uma ameaça genuína para os utilizadores.
Flipper Zero usado para hackear Teslas-@Flipper Zero
Tão simples quanto formidável
No seu esforço de investigação, Bakry e Mysk empregaram uma metodologia específica, embora reconhecessem que o ataque pode ser executado através de vários meios, tais como um computador pessoal, um dispositivo móvel ou um sistema ligado à rede. Os meandros desta abordagem foram documentados em uma apresentação de vídeo, que pode ser visualizada abaixo.
De acordo com Talal Haj Bakry e Tommy Mysk, dois pesquisadores de segurança que compartilharam suas descobertas com a Tesla, a vulnerabilidade de segurança está no processo de emparelhamento de um novo smartphone com um carro. Eles conseguiram configurar uma rede Wi-Fi enganosa e persuadir os proprietários de Tesla a fazer login em uma página de login falsa. Assim que obtiverem acesso à conta, poderão localizar o carro em tempo real e, se estiver próximo, gerar uma nova chave digital (Phone Key). Isso lhes dá a capacidade de desbloquear o carro via Bluetooth e dirigi-lo.
Os hackers apontaram que o proprietário não recebe nenhum alerta indicando que uma nova Phone Key foi gerada, e que conseguiu concluir todo o procedimento sem que o carro fosse desbloqueado ou o smartphone estivesse presente no veículo. Eles sugerem que a integração do cartão-chave físico da Tesla no processo de registro poderia melhorar a segurança.
Uma falha conhecida do Tesla
A posse obrigatória de uma chave física do cartão Tesla ao adicionar uma nova chave de telefone pode aumentar a segurança ao introduzir uma etapa adicional de autenticação para o novo telefone, dizem os pesquisadores.
Em seu relatório à Tesla, Tommy Mysk e Talal Haj Bakry explicaram que conseguiram adicionar uma segunda chave de telefone a um novo iPhone sem que o aplicativo Tesla exigisse que usassem um cartão-chave para autenticar a sessão no novo iPhone. Eles simplesmente tiveram que fazer login no novo iPhone com seu nome de usuário e senha e, assim que deram acesso ao aplicativo aos serviços de localização, a chave do telefone foi ativada.
Em resposta a isso, Tesla disse que sua investigação concluiu que este era o comportamento esperado e que o manual do proprietário do Tesla Model 3 não afirma que um cartão-chave é necessário para adicionar uma chave de telefone.
Para descobrir 1º de março de 2024 às 09h08 Comparações de serviços
Fonte: Computador Bleeping
*️⃣ Link da fonte: