Un'applicazione Android è sufficiente per individuare, sbloccare, e rubare una macchina di Tesla. Questo è ciò che i ricercatori sono riusciti a dimostrare Promon semplicemente utilizzando una singola applicazione.
I nostri ricercatori lo hanno dimostrato a causa della mancanza di sicurezza nell'app per smartphone Tesla, i criminali informatici potrebbero assumere il controllo dei veicoli dell'azienda, al punto da poter tracciare e localizzare l'auto in tempo reale, e sbloccare e guidare l'auto senza ostacoli.
Forse sai che ogni modello Tesla ha un'applicazione sia per Android che per iOS che consente ai proprietari di svolgere varie attività, come localizzare il veicolo, accendendo le luci per trovarlo in un parcheggio, etc. Queste funzionalità sono sicuramente utili, ma possono anche essere sfruttati da hacker malintenzionati. Di conseguenza, Tesla può essere facilmente rubato.
Correlata: Foxconn firmware nei dispositivi Android possono permettere l'accesso Backdoor
Una cosa dovrebbe essere chiara fin dall'inizio - un tale mod può avvenire solo se il proprietario Tesla ha scaricato un'applicazione dannosa su un dispositivo Android. In altre parole, gli utenti esperti di tecnologia che controllano le loro attività on-line, non finirebbe con la loro auto è rubata. Almeno non in questo modo.
Ottenere un pasto gratuito - Get Your Tesla Stolen
L'intero trucco si basa sulla attaccando e presa in consegna l'applicazione di Tesla.
Nell'esempio illustrato dai ricercatori, un'applicazione è stato pubblicizzato che offre il proprietario Tesla un pasto gratuito presso un vicino ristorante. Una volta che il proprietario della vettura fa clic sull'annuncio, egli viene reindirizzato al Google Play Store. Questo è dove è visualizzata l'applicazione dannoso.
Una volta installata l'app, si ottiene il controllo radice sul dispositivo e sostituisce la Tesla app originale. All'avvio dell'app, all'utente verrà richiesto di inserire nome utente e password. L'app compromessa invierà quindi i dati dell'utente al server degli aggressori. L'attaccante è quindi "libero" di rubare la Tesla, semplicemente facendo alcune richieste HTTP, spiegano i ricercatori.
Correlata: IoT Termostato Hack Finisce con ransomware Infezione
Come si può migliorare l'app Android Tesla??
I ricercatori indicano il I dieci principali rischi per dispositivi mobili di OWASP Mobile Project per 2014, per i principianti.
Queste sono le loro conclusioni:
- L'applicazione dovrebbe rilevare che è stata modificata.
- Il token di autenticazione non deve essere archiviato in chiaro.
- La sicurezza dell'autenticazione può essere migliorata richiedendo l'autenticazione a due fattori.
- L'app dovrebbe fornire la propria tastiera per inserire nome utente e password. Altrimenti, tastiere di terze parti dannose possono fungere da keylogger per ottenere le credenziali dell'utente.
- L'app deve essere protetta dal reverse engineering.