Attacco WiFi con Flipper Zero può sbloccare e rubare le Tesla

da Livio Varriale
0 commenti 1 minuti leggi
Flipper Zero furto Tesla

Un semplice attacco di phishing utilizzando un dispositivo Flipper Zero può compromettere gli account Tesla, sbloccando le auto e avviandole. L’attacco funziona con l’ultima versione dell’app Tesla, la 4.30.6, e la versione del software Tesla 11.1 2024.2.7.

Dettagli dell’attacco

image 57 1
Attacco WiFi con Flipper Zero può sbloccare e rubare le Tesla 7

I ricercatori di sicurezza Talal Haj Bakry e Tommy Mysk hanno riportato a Tesla che il collegamento di un’auto a un nuovo telefono manca di adeguate misure di autenticazione. Il costruttore di auto ha giudicato il rapporto fuori contesto.

Modalità dell’Attacco Phishing

Un aggressore presso una stazione di ricarica Tesla potrebbe distribuire una rete WiFi chiamata “Tesla Guest”, un SSID comunemente trovato nei centri di assistenza Tesla. Una volta che la vittima si collega alla rete contraffatta, viene servita una falsa pagina di login Tesla che chiede di accedere con le credenziali dell’account Tesla. Qualsiasi cosa inserita nella pagina di phishing può essere vista dall’aggressore in tempo reale sul Flipper Zero.

Annunci

Aggiunta di una Nuova Chiave

L’accesso all’account Tesla della vittima consente all’aggressore di aggiungere una nuova “Phone Key”. Per farlo, devono trovarsi a pochi metri dall’auto. Una volta aggiunta una nuova Phone Key, l’aggressore può sbloccare l’auto e attivare tutti i suoi sistemi, permettendogli di guidarla come se fosse il proprietario.

Risposta di Tesla

Nel rapporto a Tesla, i ricercatori suggeriscono che richiedere una Card Key fisica di Tesla quando si aggiunge una nuova Phone Key migliorerebbe la sicurezza aggiungendo un livello di autenticazione per il nuovo telefono. Tesla ha risposto affermando che l’indagine ha determinato che questo comportamento era intenzionale e che il manuale del proprietario della Tesla Model 3 non afferma che è necessaria una card key per aggiungere una phone key.

Si può anche come

MatriceDigitale.it – Copyright © 2024, Livio Varriale – Registrazione Tribunale di Napoli n° 60 del 18/11/2021. – P.IVA IT10498911212 Privacy Policy e Cookies

Developed with love by Giuseppe Ferrara