Een Android-app is genoeg te lokaliseren, ontsluiten, en stelen een Tesla auto. Dit is wat onderzoekers van Promon in geslaagd om te bewijzen alleen door het gebruik van een enkele applicatie.
Onze onderzoekers hebben aangetoond dat als gevolg van het gebrek aan veiligheid in de Tesla smartphone app, cybercriminelen kan de controle van de voertuigen van het bedrijf te nemen, tot het punt waar ze kunnen traceren en lokaliseren van de auto in real-time, en ontgrendelen en rijdt de auto weg ongehinderd.
Misschien weet je dat elke Tesla model heeft een aanvraag voor zowel Android als iOS waarmee eigenaren om verschillende activiteiten uit te voeren, zoals het lokaliseren van het voertuig, knipperen met de lichten om het te vinden op een parkeerplaats, etc. Deze functies zijn zeker handig, maar ze kunnen ook worden ingezet door kwaadwillende hackers. Dientengevolge, Tesla kan gemakkelijk worden gestolen.
Verwant: Foxconn Firmware in Android-apparaten kunnen toestaan Backdoor Access
Eén ding moet duidelijk vanaf het begin - zo'n hack kan alleen plaatsvinden als de eigenaar Tesla een kwaadaardige toepassing op een Android-apparaat heeft gedownload. Met andere woorden, tech-savvy gebruikers die hun online activiteiten te controleren zou niet eindigen met hun auto wordt gestolen. Tenminste niet op deze manier.
Hier krijg je een gratis maaltijd - Get Your Tesla gestolen
De hele hack is gebaseerd op het aanvallen en het overnemen van de Tesla app.
In de geïllustreerd door de onderzoekers voorbeeld, een applicatie werd aangekondigd dat de eigenaar Tesla in een nabijgelegen restaurant biedt een gratis maaltijd. Zodra de eigenaar van de auto op de advertentie klikt, hij wordt doorverwezen naar de Google Play Store. Dit is waar de kwaadaardige app wordt weergegeven.
Zodra de app is geïnstalleerd, krijgt het root-controle over het toestel en vervangt de originele Tesla app. Wanneer de app wordt gestart, de gebruiker wordt gevraagd om zijn gebruikersnaam en wachtwoord in te voeren. De gecompromitteerd app stuurt vervolgens de gebruiker gegevens naar de server van de aanvallers. De aanvaller is dan “vrij” om de Tesla stelen, simpelweg door het maken van een paar HTTP-verzoeken, de onderzoekers verklaren.
Verwant: Ivd Thermostaat Hack-Shirt met Ransomware Infection
Hoe kan de Tesla Android App worden verbeterd?
De onderzoekers wijzen op de OWASP Mobile Security Project's Top Tien Mobile Risks voor 2014, voor starters.
Dit zijn hun conclusies:
- De aanvraag moet detecteren dat het is aangepast.
- De authenticatie token mag niet worden opgeslagen in gewone tekst.
- De beveiliging van de authenticatie kan worden verbeterd door tweeledige verificatie.
- De app moet zijn eigen toetsenbord voor het invoeren van de gebruikersnaam en wachtwoord. Anders, kwaadwillende derden toetsenborden kunnen fungeren als keyloggers om referenties van de gebruiker te verkrijgen.
- De app moet worden beschermd tegen reverse engineering.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: