คีย์ดิจิตอลได้กลายเป็นวิธีการปลดล็อคที่ใช้กันทั่วไปและสะดวกสบายยานพาหนะไฟฟ้า (EVs)- แต่นักวิจัยด้านความปลอดภัยได้แสดงให้เห็นว่าอาชญากรสามารถใช้ประโยชน์จากสิ่งนี้ได้อย่างไร
นักวิจัยด้านความปลอดภัยทางไซเบอร์ Tommy Mysk และ Talal Haj Bakry ผู้ทำงานให้กับ บริษัท เทคโนโลยีมัสค์ได้ค้นพบการหาประโยชน์ที่ทำให้อาชญากรไซเบอร์เข้าถึงบัญชีเทสลาเพื่อสร้าง "คีย์ดิจิตอล" ก่อนที่จะปลดล็อครถของเหยื่อและขับรถออกไป พวกเขาให้รายละเอียดการค้นพบของพวกเขาในไฟล์YouTubeการนำเสนอเมื่อวันที่ 7 มีนาคม
พวกเขาประสบความสำเร็จในการแฮ็ค-ปลดล็อกประตูของเทสลาโมเดล 3-แม้บัญชีจะได้รับการคุ้มครองโดยการตรวจสอบสองปัจจัย (2FA) นี่เป็นเลเยอร์พิเศษของการป้องกันที่ขอรหัสก่อนเข้าสู่ระบบ - ซึ่งพวกเขาข้าม
พวกเขาต้องการอุปกรณ์ Flipper Zero ขนาดเล็กและกระดานพัฒนา Wi-Fi ซึ่งทั้งสองอย่างสามารถซื้อออนไลน์ได้
อุปกรณ์ Flipper Zero ซึ่งมีราคาเพียง $ 169 นั้นคล้ายกับ "มีดกองทัพสวิส" สำหรับนักวิจัยด้านความปลอดภัย มันช่วยให้พวกเขาอ่านคัดลอกและเลียนแบบแท็กความถี่วิทยุและการสื่อสารใกล้สนาม (NFC), รีโมทวิทยุ, คีย์การเข้าถึงดิจิตอลและสัญญาณอื่น ๆ มันถูกกฎหมายในสหรัฐอเมริกาแม้ว่าแคนาดาเพิ่งนำมาตรการไปข้างหน้าเพื่อห้าม
นักวิจัยใช้ Flipper Zero ข้างคณะกรรมการพัฒนา Wi-Fi เพื่อสร้างและออกอากาศหน้าล็อกอินเทสลาปลอมก่อนที่จะทิ้งเหยื่อให้แบ่งปันข้อมูลรับรองการเข้าสู่ระบบของพวกเขา
แฮ็คทำงานอย่างไร?
นักวิจัยทำการเอารัดเอาเปรียบนี้ผ่านเครือข่าย Wi-Fi สาธารณะชื่อ“ Tesla Guest” เช่นเดียวกับที่ใช้ในศูนย์บริการ Tesla
พวกเขาออกอากาศเครือข่ายปลอมของเครือข่ายนี้ผ่าน Flipper Zero ซึ่งหมายความว่าหากมีใครบางคนคลิกที่เครือข่ายเชลยเพื่อเข้าถึง Wi-Fi หน้าจอเข้าสู่ระบบ Tesla ที่ปลอมแปลงจะปรากฏขึ้น ออกอากาศเครือข่าย Wi-Fi ปลอมนี้ในสถานที่ที่ผู้ขับขี่ Tesla เข้าเยี่ยมชมโดยทั่วไปเช่น Tesla Superchargers จะช่วยให้อาชญากรไซเบอร์ขโมยรายละเอียดการเข้าสู่ระบบสำหรับบัญชี Tesla
หากถูกเอาเปรียบในโลกแห่งความเป็นจริงแฮ็กเกอร์จะต้องรอไดรเวอร์ Tesla ที่ไม่สงสัยเพื่อเชื่อมต่อกับเครือข่าย Wi-Fi ปลอมและพิมพ์รายละเอียดการเข้าสู่ระบบลงในพอร์ทัลล็อกอินปลอมแปลง ข้อมูลประจำตัวของผู้ใช้รวมถึงที่อยู่อีเมลรหัสผ่านและรหัส 2FA จะปรากฏบนหน้าจอของ Flipper Zero จากนั้นหลังจากได้รับข้อมูลนี้แฮ็กเกอร์สามารถเปิดแอพ Tesla และเข้าถึงบัญชีของเหยื่อ
ที่เกี่ยวข้อง:เครื่องชาร์จ EV แบบไร้สายทดลองนั้นเร็วพอ ๆ กับปลั๊กแบบมีสายที่รวดเร็วนักวิทยาศาสตร์กล่าว
แอพให้ตำแหน่งสดของรถโดยไม่ต้องแฮ็กเกอร์ที่ต้องการเปิดใช้งานคีย์ดิจิตอลซึ่งอยู่ในโทรศัพท์ของพวกเขาล่วงหน้า ด้วยการเปิดใช้งานกุญแจใกล้กับรถของเหยื่อแฮ็กเกอร์สามารถควบคุมได้จากระยะไกล อย่างน่าตกใจคุณสามารถทำได้โดยไม่ต้องอยู่ในรถ - คุณเพียงแค่ต้องเปิดใช้งานบลูทู ธ และเปิดใช้งานการตั้งค่าตำแหน่ง
เนื่องจากไม่มีการแจ้งเตือนปรากฏบนแอพของผู้ใช้หรือหน้าจอสัมผัสในตัวของรถเพื่อบอกว่ามีการเพิ่มอุปกรณ์ใหม่ลงในบัญชีของพวกเขาพวกเขาจะไม่รู้จักใครบางคนได้ทำลายบัญชีของพวกเขาและพยายามควบคุมรถของพวกเขา
แสดงให้เห็นถึงการหาประโยชน์นี้นักวิจัยได้ปลดล็อคประตูของเทสลาโมเดล 3 และแสดงวิธีเพิ่มคีย์ดิจิตอลโดยไม่ต้องแจ้งเตือนปรากฏบนหน้าจอสัมผัส พวกเขาสามารถสตาร์ทรถและขับรถออกไป
นักวิจัยรู้สึกประหลาดใจที่ได้เรียนรู้ว่าคุณต้องการคีย์การ์ดทางกายภาพ (ซึ่งมีไดรเวอร์เทสลาทั้งหมดให้) เพื่อตรวจสอบการถอดคีย์ดิจิตอล - และการแจ้งเตือนแบบพุชจะถูกส่งไปยังเจ้าของรถหลังจากลบคีย์ นี่คือความจริงที่ว่าไม่มีการแจ้งเตือนดังกล่าวเมื่อมีการเพิ่มคีย์ใหม่
ความปลอดภัยของ EV หมายความว่าอย่างไร?
แม้จะมีคู่มือของเจ้าของเทสลาระบุว่าจำเป็นต้องมีการ์ดคีย์กายภาพในการเพิ่มและลบคีย์ดิจิตอล แต่นักวิจัยได้พิสูจน์ว่านี่เป็นเพียงกรณีสำหรับการลบคีย์ดิจิตอล - ไม่เพิ่ม ทีม Mysk รายงานการค้นพบของพวกเขาต่อความปลอดภัยของผลิตภัณฑ์ของเทสลาซึ่งตอบกลับโดยเรียกว่า "พฤติกรรมที่ตั้งใจไว้"
“ เราแสดงให้เห็นว่าวิศวกรรมสังคมและฟิชชิ่งมีประสิทธิภาพได้อย่างไร” นักวิจัยเขียนในการนำเสนอของพวกเขา “ มันพ่ายแพ้ต่อการรับรองความถูกต้องหลายปัจจัย”
นักวิจัยด้านความปลอดภัยเชื่อว่าการรับรองความถูกต้องของบัตรคีย์ควรเป็นภาคบังคับและเจ้าของเทสลาควรได้รับการแจ้งเตือนหากมีการเพิ่มคีย์ใหม่ลงในบัญชีของพวกเขา
Jake Mooreที่ปรึกษาด้านความปลอดภัยทั่วโลกที่ Cyber Security Company ESET บอกกับ Live Science ว่าอุปกรณ์ที่เข้าถึงได้ง่ายเช่น Flipper Zero“ สามารถทำจำนวนมหาศาลเพื่อช่วยเหลือผู้กระทำความผิดในกิจกรรมที่เป็นอันตราย”
"ทำหน้าที่เป็นเครื่องมืออีกอย่างหนึ่งในชุดเครื่องมือของแฮ็กเกอร์พร้อมกับเทคนิควิศวกรรมสังคมอื่น ๆ อุปกรณ์เหล่านี้เพิ่มมิติใหม่สำหรับผู้ที่ตกเป็นเหยื่อที่จะรับรู้" เขาอธิบาย
"ด้วยอุปกรณ์สมาร์ทที่ไม่มีที่สิ้นสุดในตลาดและเทคโนโลยีไร้สายที่สร้างขึ้นในอุปกรณ์ที่ไม่เคยมีมาก่อนการใช้มันมาก่อนดังนั้นเราจึงต้องระวังมากขึ้นกว่าเดิม"
