Kraja Tesle preko aplikacije za telefon

Varnostni raziskovalci podjetja Promon so pokazali, kako se izkoristi varnostne pomanjkljivosti Tesline aplikacije (tako za iOS kot Android) za lociranje, odklepanje in celo krajo avtomobila. Pri tem so za nadzor avtomobila uporabili kar prenosnik. Aplikacija sicer uporabniku omogoča, da preveri lokacijo avtomobila, nivo akumulatorja, nastavitev klimatske naprave, itd.

Raziskovalci so izkoristili pomanjkljivo varovanje varnostnega ključa, ki se ustvari ob prijavi v aplikacijo. Ta ključ se namreč shrani v berljivi obliki (torej ni šifriran), potrebujemo le še uporabniško ime in geslo uporabnika. To pridobijo z napadom ribarjenja (fishing), preko katerega uporabnika prepričajo, da si namesti njihovo aplikacijo, ta zamenja aplikacijo od Tesle in napadalcem javi še uporabniško ime in geslo uporabnika. Opremljeni z omenjenim ključem, uporabniškim imenom in geslom brez težav najdejo avtomobil, ga odklenejo in omogočijo t.i. "keyless driving" način, s katerim se lahko avtomobil vključi brez uporabe ključa. Priporočamo tudi ogled videa:

5jQAX4540hA