Седан Tesla Model S — один из самых продвинутых автомобилей современности. Он настолько технологически совершенный, что владелец машины может зарегистрироваться на сайте teslamotors.com и получить возможность удаленного управления своим автомобилем.
Сайт требует ввода пароля длиной от шести символов, как минимум с одной буквой и одной цифрой.
После регистрации владелец может скачать мобильное приложение под iOS, которое показывает координаты автомобиля, процент зарядки батарей, а также позволяет заблокировать или разблокировать машину.
Проблема в том, что шестисимвольный пароль от Tesla Model S несложно подобрать брутфорсом. На официальном сайте Tesla отсутствует защита от подобного типа атак, то есть нет задержки между попытками ввода пароля, пишет исследователь Нитеш Дханьяни (Nitesh Dhanjani). Помимо брутфорса, пароль можно добыть с помощью фишинга. Затем злоумышленник способен определить местоположение автомобиля через Tesla REST API.
Нитеш Дханьяни говорит, что защита автомобиля паролем — пагубная практика. История показывает, что парольные базы различных компаний часто попадают в руки хакеров. В случае с Tesla это может иметь катастрофические последствия. Вдобавок, доступ к базе имеют работники компании Tesla, а среди них вполне может затесаться недобросовестный или недовольный условиями работы сотрудник.