Supernowoczesny samochód niezwykle podatny na kradzież

30 listopada 2016, 14:19

Brak dostatecznych zabezpieczeń samochodów marki Tesla sprawia, że wystarczy laptop, by złodziej miał pełen dostęp do pojazdu. Nie tylko może go otworzyć i uruchomić, ale nawet wcześniej ustalić jego lokalizację. Wszystko przez brak odpowiednich zabezpieczeń aplikacji na smartfony.

Pełen dostęp

Przestępcy mogą stworzyć mobilny hotspot, do którego może podłączyć się niczego nieświadomy kierowca. Zadanie jest jeszcze łatwiejsze dzięki nieprzywiązywaniu przez użytkowników wagi do cyberbezpieczeństwa.

Jak widać na filmie, hakerzy byli zdolni do przejęcia całkowitej kontroli do pojazdu bez ingerencji w pojazd, a tylko w aplikację Tesli na smartfony. Za jej pośrednictwem można było zlokalizować, otworzyć i uruchomić pojazd w trybie keyless driving.

Hakerzy zdobywają dostęp przez wysłanie zapytania HTTP do serwerów Tesli. Każde zapytanie wymaga przedstawienia tokena Oauth, który z kolei jest uzyskiwany po podaniu nazwy użytkownika i hasła. Po zalogowaniu, token, którego ważność to 90 dni, jest przechowywany w niezaszyfrowanej formie przez aplikację Tesli. Przy każdym ponownym uruchomieniu aplikacji, token jest odczytywany.

Wystarczy aplikacja

By uzyskać nazwę użytkownika i hasło, hakerzy modyfikują aplikację Tesli, by ta wysłała dane logowania do złodzieja. By zmusić użytkownika do ponownego zalogowania, po prostu usuwany jest przechowywany token.

Jak umieścić zmodyfikowaną aplikację w smartfonie kierowcy? Jedną z najprostszych jest stworzenie hotspotu Wi-Fi – na przykład o nazwie znajdującej się w pobliżu restauracji. Po zachęceniu kierowcy do zainstalowania aplikacji, na przykład obiecując darmową kanapkę użytkownikowi aplikacji, hakerowi udaje się skasować token z aplikacji Tesli. Wówczas zmodyfikowana aplikacja przesyła złodziejowi nazwę użytkownika i hasło, dając mu dostęp do pojazdu.

Kto jest najbardziej zagrożony?

Trzeba mieć na uwadze, że sposób pokazany na filmie to tylko jedna z możliwości zdobycia dostępu do pojazdu za pośrednikiem smartfona. Inne formy nie wymagają tworzenia hotspotów czy fałszywych aplikacji Tesla. Wciąż największy wpływ mają użytkownicy. Zwracanie uwagi na instalowane aplikacje i najbardziej aktualna wersja Androida. Biorąc pod uwagę fakt, że producenci smartfonów wolą wydawać kolejne wersje telefonów, niż aktualizować oprogramowanie dla starszych, większość użytkowników smartfonów jest narażona na działania hakerów. Również twórcy aplikacji dla pojazdów Tesla mogą zwiększyć poziom zabezpieczeń, by zredukować ryzyko takich ataków.

Nowoczesne technologie sprzyjają kradzieżom aut

Popularyzacja nowoczesnych technologii i komunikacji samochodów z siecią sprawia, że są bardziej narażone na ataki z niej pochodzące. Atak na aplikację Tesli to kolejny z wielu sposobów na uzyskanie dostępu do pojazdu za pośrednictwem Internetu. Zamknięte oprogramowanie, stosowane przez producentów, sprawia, że specjalistom od bezpieczeństwa trudniej jest odnaleźć luki w zabezpieczeniach. Efektem jest większe ryzyko kradzieży pojazdu. Nie przekonuje to jednak producentów, którzy wolą rozwiązania bardziej ryzykowne i lekceważą kwestię zabezpieczeń.

Więcej informacji można znaleźć na stronie promon.co (ang).

Komentarze

Komentarz musi być dłuższy niż 5 znaków!

Proszę zaakceptuj regulamin!

Redakcja nie ponosi odpowiedzialności za treść komentarzy, które są wyłącznie prywatną opinią ich autorów. Jeśli uważasz, że któryś z kometarzy jest obraźliwy, zgłoś to pod adres redakcja@motofocus.pl.

lewar, 1 grudnia 2016, 9:04 0 0

Pierwszym pojazdem, który padł łupem hakerów był Jeep. Teraz przyszedł czas na Tesle. Kto następny?

Odpowiedz

lewar, 1 grudnia 2016, 9:04 0 0

Pierwszym pojazdem, który padł łupem hakerów był Jeep. Teraz przyszedł czas na Tesle. Kto następny?

Odpowiedz

iglotkz, 1 grudnia 2016, 23:14 0 0

Weźcie pod uwagę że oni nie złamali zabezpieczeń samochodu tylko telefonu i w ten sposób uzyskali dostęp . Jak by właściciel nie był taki łakomy na darmowe hamburgery to by dalej miał samochód. To tak jak by dać się nabrać na spadek z Nigerii :D

Odpowiedz

iglotkz, 1 grudnia 2016, 23:14 0 0

Weźcie pod uwagę że oni nie złamali zabezpieczeń samochodu tylko telefonu i w ten sposób uzyskali dostęp . Jak by właściciel nie był taki łakomy na darmowe hamburgery to by dalej miał samochód. To tak jak by dać się nabrać na spadek z Nigerii :D

Odpowiedz