CYBER NEWS

Como roubar um carro Tesla, o Android App Edição

tesla-car-android-app-roubando-tesla

Um aplicativo Android é suficiente para localizar, desbloqueio, e roubar um carro Tesla. Isto é o que pesquisadores da Promon conseguiu provar apenas usando um único aplicativo.

Nossos pesquisadores demonstraram que, devido à falta de segurança no aplicativo para smartphone Tesla, criminosos cibernéticos poderiam assumir o controle dos veículos da empresa, até o ponto em que eles podem rastrear e localizar o carro em tempo real, destranque e dirija o carro sem obstáculos.

Talvez você saiba que todo modelo Tesla possui um aplicativo para Android e iOS que permite aos proprietários realizar várias atividades, como localizar o veículo, piscando suas luzes para encontrá-lo em um estacionamento, etc. Esses recursos certamente são úteis, mas eles também podem ser aproveitados por hackers mal-intencionados. Como um resultado, Tesla pode ser facilmente roubado.

relacionado: Firmware Foxconn em dispositivos Android pode permitir acesso de backdoor

Uma coisa deve ficar clara desde o início - tal invasão só pode ocorrer se o proprietário da Tesla tiver baixado um aplicativo mal-intencionado em um dispositivo Android. Em outras palavras, usuários experientes em tecnologia que monitoram suas atividades on-line não acabariam roubando seu carro. Pelo menos não assim.

Receba uma refeição grátis - Obtenha seu Tesla roubado

Todo o hack é baseado no ataque e no controle do aplicativo Tesla.

No exemplo ilustrado pelos pesquisadores, foi anunciada uma aplicação que oferece ao proprietário da Tesla uma refeição grátis em um restaurante próximo. Depois que o proprietário do carro clica no anúncio, ele é redirecionado para a Google Play Store. É aqui que o aplicativo malicioso é exibido.

Depois que o aplicativo estiver instalado, ganha controle de raiz sobre o dispositivo e substitui o aplicativo Tesla original. Quando o aplicativo é iniciado, o usuário será solicitado a inserir seu nome de usuário e senha. O aplicativo comprometido enviará os dados do usuário ao servidor do invasor. O atacante é então "livre" para roubar o Tesla, simplesmente fazendo algumas solicitações HTTP, os pesquisadores explicam.

relacionado: Internet das coisas Termostato de hacker Termina com ransomware Infection

Como o aplicativo Android Tesla pode ser aprimorado?

Os pesquisadores apontam para a Os dez principais riscos móveis do projeto de segurança móvel da OWASP para 2014, para iniciantes.

Estas são suas conclusões:

  • O aplicativo deve detectar que foi modificado.
  • O token de autenticação não deve ser armazenado em texto não criptografado.
  • A segurança da autenticação pode ser aprimorada exigindo autenticação de dois fatores.
  • O aplicativo deve fornecer seu próprio teclado para inserir o nome de usuário e a senha. De outra forma, teclados de terceiros mal-intencionados podem atuar como keyloggers para obter as credenciais do usuário.
  • O aplicativo deve estar protegido contra engenharia reversa.
Milena Dimitrova

Milena Dimitrova

Um escritor inspirado e gerenciador de conteúdo que foi com SensorsTechForum desde o início. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim

mais Posts

Me siga:
Twitter

Deixe um comentário

seu endereço de e-mail não será publicado. Campos obrigatórios são marcados *

limite de tempo está esgotado. Recarregue CAPTCHA.

Fique ligado
Assine nosso boletim informativo sobre as últimas cibersegurança e notícias relacionadas com a tecnologia.