Due ricercatori americani hanno condiviso un video che contiene informazioni su un attacco che, potenzialmente, potrebbe consentire ad un malintenzionato di rubare una Tesla.
L’attacco non è particolarmente sofisticato e non sfrutta una vera e propria falla di sicurezza nel sistema di Tesla ma soltanto l’inesperienza degli utenti che potrebbero non essere troppo avvezzi ai sistemi informatici e alle truffe di tipo phishing.
Tutto parte dal fatto che moltissimi punti di ricarica Tesla offrono la possibilità di connettersi gratuitamente al WiFi. Si tratta di un servizio supplementare che Tesla offre per “coccolare” i suoi clienti in maniera tale da garantirgli l’intrattenimento mentre avviene la ricarica dell’auto. Tutti i punti di accesso WiFi sono solitamente chiamati “Tesla Guest” e per accedere bisogna inserire le proprie credenziali, le stesse che utilizziamo sul sito Tesla ufficiale o nell’app per smartphone.
E’ proprio qui che entra in azione l’attacco di tipo phishing. Sostanzialmente dei malintenzionati possono creare delle finte reti WiFi denominate proprio “Tesla Guest” ed un utente ignaro potrebbe accedervi. A questo punto, faranno aprire un sito simile in tutto e per tutto a quello originale di Tesla dove l’utente andrà ad immettere il proprio indirizzo email, la password ed il codice dell’autenticazione a due fattori. Queste informazioni, anzichè essere trasmesse a Tesla, verranno inviate ai malintenzionati che avranno diversi secondi di tempo per effettuare l’accesso in un’applicazione sulla quale, automaticamente, si ritroveranno con l’accesso completo ai comandi della vettura, inclusa la possibilità di avviarla e partire. I dati possono poi essere modificati, impostando una nuova Digital Key. Il legittimo proprietario non viene avvisato in alcun modo della creazione di una nuova chiave digitale, nè tramite notifica nè tramite mail ed il ladro, visualizzando la posizione dell’auto sulla mappa, potrebbe anche decidere di rubarla qualche giorno dopo.
Nel video i ricercatori hanno utilizzato un Flipper Zero ma bastano anche un Raspberry o un comune smartphone per eseguire l’intera procedura descritta.
Sebbene l’intero procedimento risulti abbastanza difficile, vada eseguito in pochi secondi e sia necessario che il malintenzionato si trovi molto vicino al veicolo, per il momento l’invito è quello di non collegarsi alle reti WiFi pubbliche di Tesla. Vedremo in futuro come si muoverà l’azienda per evitare questo tipo di attacchi: già una notifica email potrebbe essere sufficiente. Vi lasciamo al video:
Leggi o Aggiungi Commenti