見つけるにはAndroidアプリで十分です, ロックを解除する, テスラの車を盗む. これは、Promonの研究者が単一のアプリケーションを使用するだけで証明することに成功したものです.
私たちの研究者は、Teslaスマートフォンアプリのセキュリティが不足しているため、, サイバー犯罪者が会社の車両を制御する可能性があります, 彼らがリアルタイムで車を追跡して見つけることができるところまで, ロックを解除して、邪魔されずに車を追い払います.
おそらく、すべてのテスラモデルには、所有者がさまざまなアクティビティを実行できるようにするAndroidとiOSの両方のアプリケーションがあることをご存知でしょう。, 車両の位置を特定するような, 駐車場でそれを見つけるためにそのライトを点滅させる, 等. これらの機能は確かに便利です, しかし、悪意のあるハッカーによって悪用される可能性もあります. 結果として, テスラは簡単に盗まれる可能性があります.
関連している: AndroidデバイスのFoxconnファームウェアがバックドアアクセスを許可する可能性がある
最初から明確にする必要があります。このようなハッキングは、Teslaの所有者がAndroidデバイスに悪意のあるアプリケーションをダウンロードした場合にのみ発生する可能性があります。. 言い換えると, オンライン活動を監視する技術に精通したユーザーは、車が盗まれることはありません。. 少なくともこの方法ではありません.
無料の食事を手に入れよう–テスラを盗まれる
ハック全体は、Teslaアプリの攻撃と乗っ取りに基づいています.
研究者によって示された例では, テスラの所有者に近くのレストランでの無料の食事を提供するアプリケーションが宣伝されました. 車の所有者が広告をクリックすると, 彼はGooglePlayストアにリダイレクトされます. これは、悪意のあるアプリが表示される場所です.
アプリがインストールされたら, デバイスをルート制御し、元のTeslaアプリを置き換えます. アプリの起動時, ユーザーは自分のユーザー名とパスワードを入力するように求められます. 侵害されたアプリは、ユーザーデータを攻撃者のサーバーに送信します. その後、攻撃者は「自由に」テスラを盗むことができます, いくつかのHTTPリクエストを行うだけです, 研究者は説明します.
関連している: IoTサーモスタットハックはランサムウェア感染で終了
テスラAndroidアプリをどのように改善できますか?
研究者は OWASPモバイルセキュリティプロジェクトのモバイルリスクトップ10 為に 2014, 初心者向け.
これらは彼らの結論です:
- アプリケーションは、変更されたことを検出する必要があります.
- 認証トークンはクリアテキストで保存しないでください.
- 二要素認証を要求することにより、認証のセキュリティを向上させることができます.
- アプリは、ユーザー名とパスワードを入力するための独自のキーボードを提供する必要があります. さもないと, 悪意のあるサードパーティのキーボードは、ユーザーの資格情報を取得するためのキーロガーとして機能する可能性があります.
- アプリはリバースエンジニアリングから保護する必要があります.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: