Una aplicación para Android es suficiente para localizar, desbloquear, y robar un coche Tesla. Esto es lo que los investigadores de Promon lograron demostrar sólo mediante el uso de una sola aplicación.
Nuestros investigadores han demostrado que debido a la falta de seguridad en la aplicación de teléfono inteligente Tesla, ciberdelincuentes podrían tomar el control de los vehículos de la empresa, hasta el punto en que pueden rastrear y localizar el coche en tiempo real, y abrir y conducir el coche de distancia sin obstáculos.
Tal vez usted sabe que cada modelo de Tesla tiene una aplicación para Android y iOS que permite a los propietarios para realizar diversas actividades, como localizar el vehículo, parpadear sus luces para encontrar que en un estacionamiento, etc. Estas características son sin duda muy útil, pero también pueden ser aprovechadas por los hackers maliciosos. Como resultado, Tesla puede ser robado fácilmente.
Relacionado: Foxconn firmware en los dispositivos Android permiten el acceso de puerta trasera
Una cosa debe quedar claro desde el principio - un corte de este tipo puede tener lugar sólo si el propietario Tesla ha descargado una aplicación maliciosa en un dispositivo Android. En otras palabras, usuarios expertos en tecnología que supervisan sus actividades en línea no terminarían con su coche sea robado. Al menos no de esta manera.
Conseguir una comida gratis - Obtenga su Tesla robados
Todo el truco se basa en atacar y hacerse cargo de la aplicación de Tesla.
En el ejemplo ilustrado por los investigadores, una aplicación se anunciaba que ofrece al propietario Tesla una comida gratis en un restaurante cercano. Una vez que el propietario del coche clic en el anuncio, es redirigido a la tienda de Google Play. Aquí es donde se muestra la aplicación maliciosa.
Una vez que la aplicación está instalada, que obtiene el control de la raíz sobre el dispositivo y sustituye a la aplicación original Tesla. Cuando se inicia la aplicación, al usuario se le pedirá que introduzca su nombre de usuario y contraseña. La aplicación comprometida enviará entonces los datos del usuario en el servidor de los atacantes. El atacante entonces es “libre” para robar el Tesla, simplemente haciendo algunas peticiones HTTP, explican los investigadores.
Relacionado: IO termostato Hack Termina con ransomware infección
¿Cómo puede la aplicación para Android Tesla mejorarse?
Los investigadores apuntan a la Riesgos de OWASP Mobile Security Proyecto Top Ten Móvil para 2014, para principiantes.
Estas son sus conclusiones:
- La aplicación debe detectar que se ha modificado.
- El token de autenticación no se debe almacenar en texto claro.
- La seguridad de la autenticación se puede mejorar al requerir autenticación de dos factores.
- La aplicación debe proporcionar su propio teclado para introducir el nombre de usuario y contraseña. De lo contrario, teclados maliciosos de terceros pueden actuar como capturadores de teclado para obtener las credenciales del usuario.
- La aplicación debe ser protegido contra la ingeniería inversa.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: