En Android app er nok til at lokalisere, låse, og stjæle en Tesla bil. Dette er, hvad forskere på Promon lykkedes at bevise blot ved hjælp af en enkelt ansøgning.
Vores forskere har påvist, at på grund af manglende sikkerhed i smartphone app Tesla, cyberkriminelle kunne tage kontrol over virksomhedens køretøjer, til det punkt, hvor de kan spore og lokalisere bilen i realtid, og låse op og køre bilen væk uhindret.
Måske ved du, at hver Tesla model har en ansøgning om både Android og iOS, der gør det muligt for ejere til at udføre forskellige aktiviteter, lignende lokalisering af køretøjet, blinkende sine lys til at finde det på en parkeringsplads, etc. Disse funktioner er helt sikkert praktisk, men de kan også udnyttes af ondsindede hackere. Som et resultat, Tesla kan let stjålet.
Relaterede: Foxconn Firmware i Android-enheder kan tillade Backdoor Access
En ting skal være klar fra starten - sådan et hack kan finde sted, hvis Tesla ejeren har hentet et ondsindet program på en Android-enhed. Med andre ord, tech-kyndige brugere, der overvåger deres online aktiviteter ville ikke ende med deres bil bliver stjålet. I hvert fald ikke på denne måde.
Få et gratis måltid - Get Your Tesla stjålet
Hele hack er baseret på at angribe og overtage Tesla app.
I det viste eksempel af forskerne, et program blev annonceret som tilbyder Tesla ejer et gratis måltid på en nærliggende restaurant. Når ejeren af bilen klikker på annoncen, han er omdirigeret til Google Play Store. Det er her den ondsindede app vises.
Når programmet er installeret, den vinder rod kontrol over enheden og erstatter den oprindelige Tesla app. Når app er startet, vil brugeren blive bedt om at indtaste sit brugernavn og adgangskode. Den kompromitteret app vil derefter sende brugerdata til angriberne server. Angriberen er så ”fri” til at stjæle Tesla, simpelthen ved at gøre et par HTTP-forespørgsler, forskerne forklare.
Relaterede: IoT Termostat Hack Slutter med Ransomware infektion
Hvordan Kan Tesla Android App forbedres?
Forskerne peger på den OWASP Mobile Security Project Top Ten Mobile Risici til 2014, til at begynde med.
Disse er deres konklusioner:
- Ansøgningen skal afsløre, at det er blevet ændret.
- Den autentificeringstoken bør ikke opbevares i klar tekst.
- Sikkerheden i autentificering kan forbedres ved at kræve totrinsgodkendelse.
- Den app skal give sit eget tastatur til indtastning af brugernavn og password. Ellers, ondsindede tredjeparts tastaturer kan fungere som keyloggers for at opnå brugerens legitimationsoplysninger.
- App bør beskyttes mod reverse engineering.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: