Александр Пономарёв

Текст

Исследователи в области кибербезопасности Талал Бакри и Томми Мыск продемонстрировали фишинговую атаку, которая позволяет скомпрометировать аккаунт Tesla

Злоумышленник может развернуть на зарядной станции Tesla сеть Wi-Fi под названием Tesla Guest — именно такой SSID обычно используется в сервисных центрах марки. Как только жертва подключится к сети, она увидит поддельную страницу авторизации с просьбой войти в систему по данным аккаунта Tesla. После ввода данных их видит на своем устройстве злоумышленник — на Flipper Zero или Raspberry Pi.

Затем фишинговая страница запрашивает одноразовый пароль. Злоумышленнику нужно авторизоваться в приложении по украденным учетным данным до истечения срока действия OTP. Зайдя в аккаунт жертвы, хакер сможет отслеживать местоположение электромобиля в реальном времени.

Но это не самая большая проблема. Доступ к аккаунту позволит злоумышленнику удаленно добавить новый Phone Key — причем без разблокировки машины или нахождения смартфона в салоне. После этого злоумышленник получает возможность открыть и угнать электрокар.

У атаки есть ограничения — взломанный аккаунт, с которого добавляется новый Phone Key, должен принадлежать основному водителю, а смартфон владельца должен быть выключен или находиться вне зоны доступа электромобиля Tesla. Кибертака работает даже с последними версиями приложения Tesla (версия 4.30.6) и програмного обеспечения машины (версия 11.1 2024.2.7).

Здесь мы рассказываем, как устроены электромобили Tesla:

Читать на ЦО.РФ

Где у него кнопка? Как устроены автомобили Tesla

Убийца двигателя внутреннего сгорания, совершенный «терминатор» современного автопрома — электромобиль Тесла стремительно занял лидирующее место, как на дорогах мира, так и среди передовых технологий будущего. Рассказываем о «приключениях электроника»

Использованные источники: Unsplash