研究人员使用FlipperZero发起钓鱼攻击,能攻陷特斯拉账户,解锁并启动汽车。攻击者通过创建假冒WiFi网络诱骗用户输入凭据,获取电话密钥权限。特斯拉回应称部分行为预期,但安全问题引发关注。
聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
研究人员提到,使用Flipper Zero 设备的一次简单钓鱼攻击可攻陷特斯拉账户,解锁并启动汽车。该公司作用于最新的特斯拉应用 4.30.6版本以及特斯拉软件版本 11.1 2024.2.7。
研究人员 Talal Haj Bakry 和 Tommy Mysk 将自己的研究成果告知特斯拉,表示将汽车连接到一台新手机缺少适当的认证安全。特斯拉认为该报告不在漏洞报告范围内。
虽然研究人员使用 Flipper Zero 执行了这起钓鱼攻击,但其它设备如 Respberry Pi 和安卓手机也可实现。
钓鱼攻击
位于特斯拉超级充电桩的攻击者可部署名为 “Tesla Guest” 的 WiFi 网络,而它是特斯拉服务中心常见的SSID且车主也熟悉。
Mysk 使用 Flipper Zero 播报 WiFi 网络但提到也可使用 Raspberry Pi 或其它具有 WiFi 热点能力的设备。一旦受害者连接到该被欺骗的网络,就会获得虚假的特斯拉登录页面并被要求使用特斯拉账号凭据进行登录。不管受害者在钓鱼页面输入什么内容,攻击者都可在 Flipper Zero 上实时看到。
输入特斯拉账户凭据后,该钓鱼页面要求获得账户的一次性密码,帮助攻击者绕过双因素认证防护措施。攻击者必须在一次性密码失效前行动并使用被盗凭据登录特斯拉 app。一旦进入账户,攻击者可实时追踪车辆的位置信息。
增加新密钥
访问受害者的特斯拉账户可使攻击者新增一个“电话密钥 (Phone Key)”。为此,他们必须近距离接触汽车,仅相距数米远。
电话密钥使用特斯拉的手机 app 和车主手机,通过蓝牙连接自动锁定或解锁汽车。特斯拉汽车也可使用“卡密钥 (Card Keys)”,这些卡是 RFID 卡,需要放在中心控制板的 RFID 阅读器上启动汽车。尽管更为安全,但特斯拉仅仅将其作为手机密钥无法启用或没电的备选项。
Mysk 表示通过 app 新增一个电话密钥,无需汽车是解锁状态或手机位于车内,而这些都是重大的安全差距。更糟糕的是,一旦新增一个电话密钥,车主无法通过 app 接收通知,而且汽车的触摸屏上也不会提出报警。统计着可使用新的手机密钥解锁汽车并激活所有系统,从而开走汽车。
Mysk 提到成功在特斯拉 Model 3 上执行攻击。在交给特斯拉的报告中,他提到遭劫持的特斯拉账户必须属于主驾驶员且车辆必须已经连接到手机密钥。
研究人员提到,在新增电话密钥时要求拥有物理的特斯拉卡密钥可通过增加的认证层来改进安全性。他们在报告中提到,“我可以在无需特斯拉 app 提示我使用卡验证新 iPhone 上的会话的情况下,在一部新的 iPhone 手机上增加第二个电话密钥。我只通过用户名和密码登录新的 iPhone,而且只要我允许该app 访问位置服务,它就会激活电话密钥。”
特斯拉回应称调查显示,这是预期行为,特斯拉 Model 3 车主手册中并未提到新增电话密钥时要求提供密钥卡。
特斯拉尚未就此置评。
代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com
推荐阅读
研究员低成本破解特斯拉自动驾驶系统、解锁“埃隆模式”、访问关键数据
美国国家安全委员会不慎泄露2000多家机构凭据,包括NASA、特斯拉等
特斯拉100GB内部资料遭员工泄漏,内含Autopilot 和 FSD 安全投诉
利用新型蓝牙攻击,开走特斯拉 Model 3 和 Model Y
多个高危 BIOS 缺陷影响英特尔处理器,特斯拉 Model 3 未幸免,可用于供应链攻击
原文链接
https://www.bleepingcomputer.com/news/security/flipper-zero-wifi-phishing-attack-can-unlock-and-steal-tesla-cars/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
640
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
