Автомобили Tesla можно угнать с помощью одного приложения

image

Теги: Android, Tesla, атака, взлом

Атака возможна, только если пользователь установит на своем смартфоне вредоносное приложение.

В прошлом эксперты не раз демонстрировали взлом автомобилей Tesla, однако на этот раз исследователям компании Promon удалось обнаружить машину, открыть и угнать с помощью всего лишь одного приложения для Android.

Для каждой модели Tesla существует соответствующее приложение для iOS- и Android-устройств, позволяющее ее владельцу узнавать местонахождение машины и уровень заряда ее аккумулятора, включать фары, чтобы найти ее на парковке и пр. Приложения существенно облегчают жизнь владельцам транспортных средств, но в то же время представляют собой угрозу. Злоумышленники могут взломать программу и использовать для угона автомобиля.

Осуществить атаку можно, только если пользователь загрузит и установит на своем смартфоне вредоносное приложение. С целью заставить жертву инсталлировать вредонос, злоумышленники используют методы социальной инженерии. Хакеры могут создать вблизи зарядной станции Tesla вредоносную точку доступа Wi-Fi и через нее отображать на подключившемся смартфоне рекламу приложения. За загрузку программы может предлагаться вознаграждение, например, бесплатный бургер.

Когда жертва установит вредоносное приложение, злоумышленники подключаются к ее смартфону и подготавливают почву для угона. По словам исследователей, при первом подключении к серверу с помощью логина и пароля приложение Tesla получает токен OAuth. Далее токен сохраняется в открытом виде в песочнице приложения и используется при каждом запуске программы.

Задача хакеров – сбросить токен и тем самым заставить пользователя снова ввести учетные данные. Удалив токен, злоумышленники могут перехватить вводимые жертвой логин и пароль и использовать их для авторизации в приложении. Таким образом, хакеры смогут узнать местоположение автомобиля, активировать режим вождения без ключа и угнать его.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.