Ein Android-App ist genug, um zu lokalisieren, aufschließen, und stehlen ein Auto Tesla. Das haben Forscher bei Promon zu beweisen, gelang es nur durch eine einzige Anwendung mit.
Unsere Forscher haben gezeigt, dass wegen des Mangels an Sicherheit in dem Tesla-Smartphone-App, Cyber-Kriminelle die Kontrolle über die Fahrzeuge des Unternehmens übernehmen könnte, bis zu dem Punkt, wo sie das Auto in Echtzeit verfolgen und lokalisieren, und entriegeln und das Auto wegfahren ungehindert.
Vielleicht wissen Sie, dass jeder Tesla Modell eine Anwendung sowohl für Android hat und iOS, die Besitzer verschiedene Aktivitäten ausführen können, wie das Fahrzeugortungs, seine Lichter blinken sie auf einem Parkplatz zu finden, etc. Diese Funktionen sind sicherlich praktisch, sie können aber auch von böswilligen Hackern genutzt werden,. Infolge, Tesla kann leicht gestohlen werden.
verbunden: Foxconn Firmware in Android Geräte können Backdoor Zugriff erlauben
Eines sollte von Anfang an klar sein - so ein Hack kann nur, wenn der Tesla Besitzer eine bösartige Anwendung auf einem Android-Gerät heruntergeladen. Mit anderen Worten, technisch versierte Anwender, die ihre Online-Aktivitäten überwachen würde nicht am Ende mit ihrem Auto gestohlen. Zumindest nicht so.
Holen Sie sich eine kostenlose Mahlzeit - Get Your Tesla Stolen
Die ganze Hack basiert auf Angriff und die Übernahme der Tesla App.
Im Beispiel von den Forschern dargestellt, ein Antrag wurde damit geworben, dass der Tesla Besitzer ein kostenloses Essen in einem nahe gelegenen Restaurant bietet. Sobald die Besitzer des Autos auf der Anzeige klickt, er ist mit dem Google Play Store umgeleitet. Hier wird die bösartige App angezeigt wird.
Sobald die App installiert, es gewinnt Wurzel Kontrolle über das Gerät und ersetzt die ursprüngliche Tesla App. Wenn die App gestartet, der Benutzer wird aufgefordert, seinen Benutzernamen und ein Passwort eingeben. Die kompromittiert App wird dann die Benutzerdaten der Angreifer-Server senden. Der Angreifer ist dann „frei“, um den Tesla zu stehlen, einfach durch ein paar HTTP-Anfragen, die Forscher erklären.
verbunden: IoT Thermostat Hack Endet mit Ransomware-Infektion
Wie kann die Tesla Android App Verbessert werden?
Die Forscher weisen auf die OWASP Mobile Security Project Top-Ten-Mobile-Risiken für 2014, für Starter.
Dies sind ihre Schlussfolgerungen:
- Die Anwendung sollte erkennen, dass es modifiziert wurde,.
- Die Authentifizierungs-Token sollten nicht im Klartext gespeichert werden.
- Die Sicherheit der Authentifizierung kann durch die Forderung, die zweistufige Authentifizierung werden verbessert.
- Die App sollte über eine eigene Tastatur sorgt für die Eingabe von Benutzername und Passwort. Sonst, böswillige Dritte Tastaturen können handeln wie Keyloggern Anmeldeinformationen des Benutzers zu erhalten.
- Die App sollte gegen Reverse Engineering geschützt werden.