Hakeri ukrali Tesla automobil s pametnim telefonom [video]

Sigurnosni tim stručnjaka tvrtke Promon pronašao je rupu u Tesla Android aplikaciji za dobivanje pune kontrole nad automobilom koja omogućava otvoriti vrata i voziti bez ključa te tako ukrasti automobil i poslati na bilo koje odredište.

Gdje je propust?  U načinu  osiguranja korisničkog imena i lozinke dobivenim od OAuth token  zahtjeva  za autentičnost. Aplikacija pohranjuje podatke u jasan tekst u Sandbox datoteku bez šifriranja i nakon prve prijave pri svakoj sljedećoj,  koristi te podatke za nove zahtjeve.  Aktivnost se  provodi slanjem HTTP zahtjeva na Tesla poslužitelj.  Zato nije problem hakerima s jednostavnom zamjenom izvornog koda dobiti root prava i ukrasti automobil.

Promo tim je simulirao napad usmjeren na dobivanje korisničkog imena i lozinke putem WiFi HotSpota u blizini stanice za punjenje Tesla automobila.  Napad je iniciran ponudom besplatnog hamburgera vlasnicima automobila kako bi instalirali dodatnu aplikaciju koja je zapravo bila zlonamjerna.

Promon stručnjaci savjetuju da autori prorade na aplikaciji kako bi se smanjili sigurnosni rizici na minimum. Na primjer, aplikacija mora biti u stanju odrediti pokušaj modifikacije, token ne smije   prikazati jasan tekst i upotrebu  dvostupanjske autentifikacije.  Isto tako, primjena može uključiti vlastitu tipkovnicu koja će štititi korisnike od  snimanja pritisak na tipku  tj. keyloggersa.

Ovo nije prva demonstracija krađe automobila. U rujnu 2016. godine, kineski hakeri iz Keen Security Labs demonstrirali su kako napadači mogu preuzeti Tesline kočnice.

Ono što je također važno je imati na umu da ranjivosti nisu isključivo vezana za Tesla automobile, već općenito problem u mobilnim aplikacijama koje se mogu koristiti od strane napadača.    Istraživači su htjeli samo pokazati rizike kojima smo izloženi nesmotrenim preuzimanjem raznih aplikacija, osobito koje dolaze iz nepouzdanih izvora. Zato, pamet u glavu !