Um aplicativo Android é suficiente para localizar, desbloqueio, e roubar um carro Tesla. Isto é o que pesquisadores da Promon conseguiu provar apenas usando um único aplicativo.
Nossos pesquisadores demonstraram que, devido à falta de segurança no aplicativo para smartphone Tesla, criminosos cibernéticos poderiam assumir o controle dos veículos da empresa, até o ponto em que eles podem rastrear e localizar o carro em tempo real, destranque e dirija o carro sem obstáculos.
Talvez você saiba que todo modelo Tesla possui um aplicativo para Android e iOS que permite aos proprietários realizar várias atividades, como localizar o veículo, piscando suas luzes para encontrá-lo em um estacionamento, etc. Esses recursos certamente são úteis, mas eles também podem ser aproveitados por hackers mal-intencionados. Como um resultado, Tesla pode ser facilmente roubado.
relacionado: Firmware Foxconn em dispositivos Android pode permitir acesso de backdoor
Uma coisa deve ficar clara desde o início - tal invasão só pode ocorrer se o proprietário da Tesla tiver baixado um aplicativo mal-intencionado em um dispositivo Android. Em outras palavras, usuários experientes em tecnologia que monitoram suas atividades on-line não acabariam roubando seu carro. Pelo menos não assim.
Receba uma refeição grátis - Obtenha seu Tesla roubado
Todo o hack é baseado no ataque e no controle do aplicativo Tesla.
No exemplo ilustrado pelos pesquisadores, foi anunciada uma aplicação que oferece ao proprietário da Tesla uma refeição grátis em um restaurante próximo. Depois que o proprietário do carro clica no anúncio, ele é redirecionado para a Google Play Store. É aqui que o aplicativo malicioso é exibido.
Depois que o aplicativo estiver instalado, ganha controle de raiz sobre o dispositivo e substitui o aplicativo Tesla original. Quando o aplicativo é iniciado, o usuário será solicitado a inserir seu nome de usuário e senha. O aplicativo comprometido enviará os dados do usuário ao servidor do invasor. O atacante é então "livre" para roubar o Tesla, simplesmente fazendo algumas solicitações HTTP, os pesquisadores explicam.
relacionado: Internet das coisas Termostato de hacker Termina com ransomware Infection
Como o aplicativo Android Tesla pode ser aprimorado?
Os pesquisadores apontam para a Os dez principais riscos móveis do projeto de segurança móvel da OWASP para 2014, para iniciantes.
Estas são suas conclusões:
- O aplicativo deve detectar que foi modificado.
- O token de autenticação não deve ser armazenado em texto não criptografado.
- A segurança da autenticação pode ser aprimorada exigindo autenticação de dois fatores.
- O aplicativo deve fornecer seu próprio teclado para inserir o nome de usuário e a senha. De outra forma, teclados de terceiros mal-intencionados podem atuar como keyloggers para obter as credenciais do usuário.
- O aplicativo deve estar protegido contra engenharia reversa.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: