Tin tặc có một cách mới tiềm năng để đánh xe điện Tesla
Các nhà nghiên cứu đã tạo ra mạng WiFi Tesla giả để đánh cắp thông tin đăng nhập của chủ sở hữu và thiết lập khóa điện thoại mới.
Các nhóm trước đây đã tìm thấy các lỗ hổng hack khác trong xe Tesla công nghệ cao.
Nếu bạn sở hữu một chiếc Tesla, bạn có thể phải hết sức cẩn thận khi đăng nhập vào mạng WiFi tại các trạm sạc Tesla .
Các nhà nghiên cứu bảo mật Tommy Mysk và Talal Haj Bakry của Mysk Inc. đã xuất bản một video trên YouTube giải thích việc tin tặc có thể dễ dàng trộm ô tô bằng thủ thuật kỹ thuật xã hội thông minh như thế nào.
Các tấn công xe điện Tesla qua wifi tại trạm sạc
Theo video của Mysk, nhiều trạm sạc Tesla - trong số đó có hơn 50.000 trạm trên thế giới - cung cấp mạng WiFi thường được gọi là "Tesla Guest" mà chủ sở hữu Tesla có thể đăng nhập và sử dụng trong khi chờ xe sạc.
Sử dụng một thiết bị có tên Flipper Zero - một công cụ hack đơn giản trị giá 169 USD - các nhà nghiên cứu đã tạo ra mạng WiFi "Tesla Guest" của riêng họ. Khi nạn nhân cố gắng truy cập mạng, họ sẽ được đưa đến trang đăng nhập Tesla giả do tin tặc tạo ra, sau đó chúng sẽ đánh cắp tên người dùng, mật khẩu và mã xác thực hai yếu tố của họ trực tiếp từ trang web trùng lặp.
Mặc dù Mysk đã sử dụng Flipper Zero để thiết lập mạng WiFi của riêng họ, nhưng bước này của quy trình cũng có thể được thực hiện với hầu hết mọi thiết bị không dây, như Raspberry Pi, máy tính xách tay hoặc điện thoại di động, Mysk cho biết trong video.
Mysk giải thích trong video: Khi tin tặc đã đánh cắp thông tin đăng nhập vào tài khoản Tesla của chủ sở hữu, chúng có thể sử dụng nó để đăng nhập vào ứng dụng Tesla thực, nhưng chúng phải thực hiện nhanh chóng trước khi mã 2FA hết hạn.
Một trong những tính năng độc đáo của xe Tesla là chủ sở hữu có thể sử dụng điện thoại của họ làm chìa khóa kỹ thuật số để mở khóa xe mà không cần thẻ chìa khóa vật lý .
Sau khi đăng nhập vào ứng dụng bằng thông tin đăng nhập của chủ sở hữu, các nhà nghiên cứu sẽ thiết lập một chìa khóa điện thoại mới trong khi cách chiếc ô tô đang đỗ gần đó.
Các hacker thậm chí sẽ không cần phải đánh cắp chiếc xe ngay lúc đó; họ có thể theo dõi vị trí của Tesla từ ứng dụng và đánh cắp nó sau đó.
Mysk cho biết chủ sở hữu Tesla thậm chí còn không được thông báo khi khóa điện thoại mới được cài đặt. Và mặc dù sách hướng dẫn sử dụng Tesla Model 3 nói rằng cần phải có thẻ vật lý để thiết lập chìa khóa điện thoại mới, nhưng theo video, Mysk nhận thấy rằng không phải như vậy.
Tommy Mysk nói với Gizmodo: "Điều này có nghĩa là nếu email và mật khẩu bị rò rỉ, chủ sở hữu có thể mất chiếc xe Tesla của họ. Điều này thật điên rồ". “Các cuộc tấn công lừa đảo và kỹ thuật xã hội ngày nay rất phổ biến, đặc biệt là với sự phát triển của công nghệ AI và các công ty có trách nhiệm phải tính đến những rủi ro như vậy trong mô hình mối đe dọa của họ.”
Khi Mysk báo cáo vấn đề với Tesla, công ty trả lời rằng họ đã điều tra và quyết định đây không phải là vấn đề, Mysk cho biết trong video.
Tesla đã không trả lời yêu cầu bình luận của Business Insider.
Tommy Mysk cho biết anh đã thử nghiệm phương pháp này nhiều lần trên chính chiếc xe của mình và thậm chí còn sử dụng một chiếc iPhone reset chưa từng được ghép nối với chiếc xe trước đây, Gizmodo đưa tin. Mysk khẳng định lần nào nó cũng hoạt động.
Mysk cho biết họ tiến hành thí nghiệm chỉ nhằm mục đích nghiên cứu.
Ở cuối video, Mysk cho biết vấn đề có thể được khắc phục nếu Tesla bắt buộc phải xác thực thẻ chìa khóa vật lý và thông báo cho chủ sở hữu khi khóa điện thoại mới được tạo.
Đây không phải là lần đầu tiên các nhà nghiên cứu hiểu biết tìm ra những cách tương đối đơn giản để hack vào Teslas.
Theo xe360.com