Дослідники безпеки повідомляють, що виявили спосіб вкрасти автівку Tesla за допомогою Flipper Zero – російського інструменту для злому за $169, пише Gizmodo.
Томмі Майск і Талал Хадж Бакрі з Mysk Inc. кажуть, що це – не хакерство в сенсі злому програмного забезпечення, а скоріше щось наближене до так званої соціальної інженерії.
Використовуючи Flipper, дослідники створили мережу Wi-Fi під назвою «Tesla Guest» — так компанія Tesla називає свої гостьові мережі в сервісних центрах. Потім Майск створив вебсайт, схожий на сторінку входу в систему Tesla.
Процес простий. У цьому сценарії хакери можуть роздавати мережу біля зарядної станції, де нудьгує водій поки зарядиться його автівка. Жертва підключається до мережі та вводить своє ім’я користувача та пароль на фальшивому вебсайті Tesla.
Потім хакер використовує облікові дані для входу в справжній додаток Tesla, який запускає код двофакторної автентифікації. Жертва вводить цей код на фальшивому вебсайті, і злодій отримує доступ до облікового запису.
Після входу в додаток Tesla ви можете налаштувати телефонний ключ, який дозволяє розблокувати та керувати автомобілем через Bluetooth за допомогою смартфона. З цього моменту автомобіль ваш.
За словами Майска, Tesla не повідомляє користувачів про створення нових ключів, тому жертва не дізнається про діяльність зловмисників. Крім того, шахраям не обов’язково викрадати автомобіль одразу, оскільки додаток показує місцеперебування транспортного засобу.
Власник Tesla може закінчити заряджати автомобіль і поїхати за покупками або припаркуватися біля свого будинку. Злодій просто спостерігав би за жертвою через додаток, а потім під’їхав би в потрібний момент і поїхав геть.
«Це означає, що через витік електронної пошти та пароля власник може втратити свій автомобіль Tesla. Це божевілля», – каже Томмі Майск.
Майск повідомив, що зв’язувався з Tesla з даного приводу, але компанія відповіла, що це не є реальною проблемою.
🎬 With the rise of social engineering and phishing attacks thanks to #AI, Tesla fails to recognize them as a threat. We created a short demo showing the limits of what an attacker can do with the stolen credentials of a Tesla account.
SPOILER ALERT: No limits
Tesla says it's… pic.twitter.com/CTzOjvpjke
— Mysk 🇨🇦🇩🇪 (@mysk_co) March 7, 2024
Ми раніше писали, що Канада вже розмірковує над забороною російського Flipper Zero в межах боротьби з автомобільними крадіжками.
Завантаження коментарів …