ИБ-эксперты Талал Хай Бакри (Talal Haj Bakry) и Томми Мыск (Tommy Mysk) показали простую фишинговую атаку с использованием Flipper Zero, в результате которой можно скомпрометировать учетную запись Tesla, разблокировать автомобиль и угнать его. Атака работает даже с последней версией приложения Tesla (4.30.6) и с прошивкой версии 11.1 2024.2.7.
Исследователи говорят, что сообщали о найденной проблеме инженерам Tesla и рассказывали, что при привязке автомобиля к новому мобильному устройству отсутствует надлежащая аутентификация. Однако в компании не сочли их отчет заслуживающим внимания.
Атака, разработанная Барки и Мыском весьма проста, и они успешно протестировали ее на собственной Tesla Model 3. Так, злоумышленник может развернуть на зарядной станции Tesla сеть Wi-Fi под названием «Tesla Guest». Такой SSID часто встречается в сервисных центрах Tesla, и хорошо знаком владельцам авто.
Затем Мыск использовал Flipper Zero для бродкаста сети Wi-Fi, хотя он отмечает, что то же самое можно проделать с помощью Raspberry Pi и любых других устройств, оснащенных функцией Wi-Fi hotspot.
Как только жертва подключается к фальшивой сети, ей предлагается поддельная страница логина Tesla с просьбой войти в систему, используя учетные данные аккаунта Tesla. Все, что жертва вводит на фишинговой странице, злоумышленник может видеть на своем Flipper Zero в режиме реального времени.
После получения учетных данных фишинговая страница запрашивает одноразовый пароль (OTP) для учетной записи, чтобы злоумышленник мог обойти двухфакторную аутентификацию. Отмечается, что атакующий должен успеть войти в приложение Tesla, используя украденные учетные данные, до истечения срока действия OTP. Войдя в аккаунт, хакер получит возможность отслеживать местоположение автомобиля в режиме реального времени.
Но главная проблема заключается в том, что доступ к чужой учетной записи Tesla позволит злоумышленнику добавить новый Phone Key. Хотя для этого атакующий должен находиться в непосредственной близости от автомобиля, буквально в нескольких метрах от него.
Phone Key использует мобильное приложение Tesla в сочетании со смартфоном владельца авто для автоматической блокировки и разблокировки автомобиля по защищенному Bluetooth-каналу.
Также в автомобилях Tesla используются Card Key — небольшие RFID-карты, которые нужно поднести к RFID-считывателю в салоне, чтобы завести автомобиль. Хотя они более безопасны, Tesla рассматривает их как резервный вариант, на тот случай, если Phone Key недоступен или разряжена батарея.
Мыск отмечает, что добавление нового Phone Key через приложение не требует разблокировки автомобиля или нахождения смартфона в салоне, что значительно повышает риски. Более того, после добавления нового Phone Key владелец Tesla не получает никаких уведомлений об этом через приложение, и ничего не отображается на экране в салоне авто.
Получив новый Phone Key, злоумышленник получает возможность разблокировать автомобиль и активировать любые его системы, что позволяет ему свободно уехать на чужой Tesla.
Но есть и ряд условий. В частности, взломанный аккаунт Tesla должен принадлежать основному водителю авто, и автомобиль уже должен быть привязан к Phone Key. Кроме того, чтобы атака сработала, мобильный телефон владельца с Phone Key должен быть выключен или находиться вне зоны доступа автомобиля.
Исследователи считают, что при добавлении нового Phone Key необходимо запрашивать физическую карту-ключ Tesla Card Key, что повысит безопасность и добавит еще один уровень аутентификации для нового телефона.
«Мне удалось добавить второй Phone Key на новый iPhone, и приложение Tesla не предложило мне использовать карту-ключ для аутентификации сессии на этом iPhone. Я вошел в систему на новом iPhone, и как только я предоставил приложению доступ к определению местоположения, оно активировало Phone Key», — пишут исследователи в отчете.
Однако в Tesla Мыску и Бакри сообщили, что компания провела расследование и установила, что описанное поведение является нормальным, и в руководстве пользователя Tesla Model 3 не указано, что для добавления нового Phone Key требуется ключ-карта.
