Видео дня: хакеры угнали автомобиль Tesla с помощью смартфона

Атака на электронику электромобилей — любимая тема современных хакеров

Атака на электронику электромобилей — любимая тема современных хакеров


Исследователи из компании Promon нашли слабые места в Android-приложении Tesla, которые позволяют получить полный контроль над автомобилем. Как утверждают хакеры, с помощью этой «дыры» злоумышленники могут удалённо угнать автомобиль и направить его в нужное место назначения.

Видео дня: хакеры угнали автомобиль Tesla с помощью смартфона

Работа с приложением начинается с отправки HTTP-запроса к серверу Tesla. Все запросы должны предоставить Oauth-токен. Этот токен пользователь получает, пройдя аутентификацию с помощью логина и пароля. После первого успешного входа в приложение Tesla токен сохраняется в открытом виде в файле. Когда приложение перезагружается, токен считывается и используется для отправки новых запросов. Согласно экспериментальным тестам специалистов Promon, этот токен является валидным на протяжении 90 дней. Кража токена означает получение полного контроля над автомобилем (всё, что позволяет приложение).
Но как же хакерам удалось реализовать атаку? Как отмечается, для успешной атаки достаточно немного модифицировать код приложения Tesla, благодаря чему хакер получит возможность получать все введённые аутентификационные данные на свою электронную почту. Замена оригинального приложения возможна с помощью так называемой атаки с повышением привилегий (наподобие зловредных программ Godless и HummingBad). Как только атакующий получает root-права, у него открывается широкое поле деятельности. Правда, ещё придётся заставить пользователя установить зловредное приложение. Но, по утверждению команды Promon, это также возможно с помощью известных методов.

Видео дня: хакеры угнали автомобиль Tesla с помощью смартфона

Например, можно реализовать фишинг-атаку с подставной точкой доступа Wi-Fi. В демонстрационной атаке хакеры организовали такую фейковую беспроводную станцию. Она перенаправляла пользователя на портал с рекламой приложения, которое якобы предлагает всем владельцам автомобилей Tesla бесплатный ужин в ближайшем ресторане. Дальше — дело техники. Конечно же, далеко не все клюнут на такую удочку, но шанс у преступников высокий.

Специалисты Promon советуют Tesla придерживаться некоторых правил, которые позволят свести риски безопасности к минимуму. Например, приложение должно уметь самостоятельно определять попытки модификации. Токен не должен храниться в открытом виде. Безопасность может быть повышена при использовании двухфакторной аутентификации. Также приложение может включать собственную клавиатуру, что убережёт пользователей от вирусов-кейлоггеров. Не лишним будет защитить приложение и от обратной инженерии.




Tags:
promo toomth august 29, 2015 19:00 183
Buy for 100 tokens
Не смотря на дикие пробки на трассе Керчь-Симферополь, я таки выдвинулся сначала в райцентр Ленино, а потом и в город-спутник Щелкино, а уже от туда попёрся на АЭС. В дикую жару, километров через 5 я понял что зря не взял такси... Пришлось намотать километров 20. В следующий раз возьму транспорт.…
Видео дня: хакеры угнали автомобиль Tesla с помощью смарт
Пользователь busia777 сослался на вашу запись в своей записи «Видео дня: хакеры угнали автомобиль Tesla с помощью смартфона » в контексте: [...] Оригинал взят у в Видео дня: хакеры угнали автомобиль Tesla с помощью смартфона [...]
вспомнилась шутка о том, что украденная Тесла становится Эдисоном ))))
Видео дня: хакеры угнали автомобиль Tesla с помощью смарт
Пользователь ilonazhi сослался на вашу запись в своей записи «Видео дня: хакеры угнали автомобиль Tesla с помощью смартфона » в контексте: [...] Оригинал взят у в Видео дня: хакеры угнали автомобиль Tesla с помощью смартфона [...]
Видео дня: хакеры угнали автомобиль Tesla с помощью смарт
Пользователь marishkaak сослался на вашу запись в своей записи «Видео дня: хакеры угнали автомобиль Tesla с помощью смартфона » в контексте: [...] Оригинал взят у в Видео дня: хакеры угнали автомобиль Tesla с помощью смартфона [...]
Здравствуйте! Ваша запись попала в топ-25 популярных записей LiveJournal для Украины. Подробнее о рейтинге читайте в Справке.
А лет через двести будут все так же угонять космолеты...

Так что технологии никогда не решают проблемы.
Смартфон смартфоном, а обыкновенным тумблером, физически обрывающем контакт питания, брезговать нельзя!