如何偷一輛特斯拉。這是一個聽起來像是令人不安的「一步一步」的影片標題。顯然,程序的細節沒有說明,但至少可以說結果仍然令人擔憂。 Promon 公司的安全專家利用 Tesla Model S 的一個(罕見的?)弱點:Android 版本的行動應用程序,成功破解了它。如果我們先了解它非常實用的一面,讓我們能夠找到它,監控充電狀態,甚至檢查門是否正確關閉,那麼不幸的是,它也成為駭客的一把鑰匙。
一種眾所周知的惡意軟體注入方法
「我們使用的方法非常簡單,網路犯罪分子多年來就已經知道了,」行動應用程式安全專家 Benjamin Adolphi 將 Wi-Fi 適配器插入筆記型電腦時解釋道。它的形狀像一個大的 USB 密鑰,允許駭客創建一個開放的 Wi-Fi 接入點。
在這種情況下,這個受困網路是在一家快餐店附近創建的 - 有點像使用麥當勞的免費 Wi-Fi - 也有一個超級充電終端,顧客會忍不住去加油。為了鼓勵特斯拉客戶連接Wi-Fi,如果他們下載應用程序,他們將獲得漢堡。從安裝應用程式的那一刻起,駭客就可以透過惡意軟體進入 Tesla 應用程序,從而控制停在稍遠一點的 Model S。
如影片所示,一旦在應用程式中識別出受害者,駭客就可以恢復標識符,因為它們透過簡單的 HTTP 請求,這顯然很容易被破解。事實上,在第一次連接到應用程式期間,應用程式使用者會收到一個有效期為 90 天的“令牌”,其中包含使用者名稱和密碼,這些資訊以純文字形式儲存在應用程式的資料夾中。
駭客的惡意軟體只需竊取資料並連接即可存取車輛的位置。因此,他可以前往那裡解鎖車輛並啟動“無鑰匙”啟動模式。這是該車輛的特定功能,允許使用密碼啟動車輛。正如專家指出的那樣,“在你度假的時候,讓你的鄰居把他們的車移走是很實用的。”但在這裡,這個功能讓駭客再次駕駛 Model S,沒有任何問題,也不會引起注意。
Android 方面的缺陷,而不是 Tesla 的缺陷
對某些人來說,允許特斯拉客戶享受免費漢堡的眾多步驟可能已經引起了他們的警覺。但任何不夠警惕的人,或只是屈服於利用免費 Wi-Fi 網路的誘惑的人,都可能會上當。安全事務如果特斯拉接近解決這個問題。
事實上,特別值得注意的是,這些使用與汽車連接的應用程式的缺陷正變得越來越多。 Promon 的創始人兼技術總監 Tom Lysemose Hansen 表示,特斯拉的案例只是說明這些應用程式在 Android 下的安全性仍然很差且容易受到攻擊的弱點的一種方式。在 iOS 下,重現這個允許駭客將惡意軟體注入系統的過程要複雜得多(不可能?)。
就特斯拉而言,目前只能鼓勵其 Android 應用程式的客戶和用戶格外警惕,並確保他們的 Tesla 應用程式和智慧型手機的作業系統都是最新的。
🔴為了不錯過任何01net新聞,請關注我們谷歌新聞等WhatsApp。
