Уязвимости Android могут привести к краже Tesla-каров
Безопасность автомобилей Tesla вновь оспорена, после того как норвежской охранной фирмой Promon была разработана и успешно проведена атака на Android-смартфон владельца автомобиля, позволившая через фирменное приложение Tesla заполучить управление авто.
Атака комбинирует методы социальной инженерии и повышение прав на смартфоне. Через бесплатные Wi-Fi точки у зарядных станций Tesla распространяется предложение приобрести мобильные аксессуары оптом, а также получить бесплатный бургер в ближайшем кафе после установки приложения. Приложение, на самом деле - вредоносная программа, захватывающая контроль над учетными данными пользователя Tesla и позволяющая злоумышленнику удаленно аутентифицироваться через приложение Tesla. Хотя угнать автомобиль только через приложение не получится, рычагов управления в приложении достаточно:
1. Отслеживание состояния заряда аккумулятора, начало и прекращение зарядки;
2. Включение двигателя;
3. Отслеживание местонахождения;
4. Управления фарами и сигналом;
5. Отмыкание замка;
Исследователи из Promon сообщили представителям Tesla о том, как можно повысить безопасность работы через приложение и при каких условиях атака была бы невозможна - дополнительное шифрование учетных данных и двухфакторная аутентификация - так что в ближайшее время дыра в безопасности приложения будет исправлена. Тем не менее, это уже не первый случай успешной атаки на Tesla-кар через уязвимости Android.