Güvenlik araştırmacıları, Flipper Zero kullanarak Tesla’yı kaçırmalarına olanak tanıyan bir tasarım kusurunu ortaya çıkardıklarını bildirdi. 169 dolarlık tartışmalı hack aracı. Ortaklar Tommy Mysk ve Talal Haj Bakry Mysk Inc.’den saldırının Tesla sahibinin giriş bilgilerini kaydırmak, Tesla uygulamasını açmak ve arabayı sürmek kadar basit olduğunu söyledi. Kurbanın 40.000 dolarlık aracını kaybettiğinden haberi olmayacaktı. Mysk, bu istismarın birkaç dakika sürdüğünü ve her şeyin işe yaradığını kanıtlamak için kendi arabasını çaldığını söyledi.
Sorun, yazılıma izinsiz girme anlamında bir “hackleme” değil, kullanıcıyı bilgilerini verme konusunda kandıran bir sosyal mühendislik saldırısıdır. Araştırmacılar bir Flipper kullanarak, Tesla’nın servis merkezlerindeki misafir ağları için kullandığı isim olan “Tesla Guest” adında bir WiFi ağı kurdular. Mysk daha sonra Tesla’nın giriş sayfasına benzeyen bir web sitesi oluşturduk.
İşlem basittir. Bu senaryoda, bilgisayar korsanları ağı, canı sıkılan bir sürücünün eğlence aradığı bir şarj istasyonunun yakınında yayınlayabilir. Kurban WiFi ağına bağlanıyor ve sahte Tesla web sitesine kullanıcı adını ve şifresini giriyor. Bilgisayar korsanı daha sonra kimlik bilgilerini gerçek Tesla uygulamasında oturum açmak için kullanır ve bu da iki faktörlü bir kimlik doğrulama kodunu tetikler. Kurban bu kodu sahte web sitesine girer ve hırsız onun hesabına erişim kazanır. Tesla uygulamasında oturum açtığınızda, akıllı telefonunuzla Bluetooth üzerinden arabanın kilidini açmanıza ve kontrol etmenize olanak tanıyan bir “telefon anahtarı” ayarlayabilirsiniz. Oradan itibaren araba sizindir.
Aşağıdaki videoda Mysk’in saldırı gösterisini görebilirsiniz.
Buna göre MyskTesla, yeni anahtarlar oluşturulduğunda kullanıcılara bildirimde bulunmuyor; böylece kurban, anahtarların ele geçirildiğini bilemez. Mysk, uygulamanın size aracın fiziksel konumunu göstermesi nedeniyle kötü adamların arabayı hemen çalmasına gerek kalmayacağını söyledi. Tesla sahibi arabayı şarj etmeyi bitirip alışverişe gidebilir veya evinin dışına park edebilir. Hırsız, uygulamayı kullanarak sadece arabanın konumunu izliyor ve ardından uygun bir anda vals yaparak uzaklaşıyor.
“Bu, sızdırılan bir e-posta ve şifreyle sahibinin Tesla aracını kaybedebileceği anlamına geliyor. Bu delilik,” dedi Tommy Mysk. “Kimlik avı ve sosyal mühendislik saldırıları, özellikle yapay zeka teknolojilerinin yükselişiyle birlikte günümüzde çok yaygın ve sorumlu şirketlerin tehdit modellerinde bu tür riskleri hesaba katması gerekiyor.”
Bir Tesla satın aldığınızda şirket size araba için fiziksel bir anahtar kartı sağlar. Tesla Model 3 kullanım kılavuzu “Anahtar kartı, Model 3 ile çalışmak üzere telefon anahtarlarının ‘doğrulanması’ ve diğer anahtarların eklenmesi veya kaldırılması için kullanılır.” Ancak Mysk bu istismarı denediğinde bunun doğru olmadığı görüldü.
Mysk’e göre güvenlik açığını kendi Tesla’sıyla birçok kez test etti. Mysk, daha önce arabasıyla hiç eşleştirilmemiş, yeni sıfırlanmış bir iPhone kullandığını ve bu telefon ile Apple kimliği veya IP adresi aracılığıyla gerçek kimliği arasında hiçbir bağlantı olmadığından emin olduğunu söyledi. Mysk, Tesla’nın fiziksel anahtar kartına erişmeden birden çok kez telefon anahtarı oluşturabildiğini söyledi.
Mysk, Tesla’nın güvenlik açığı raporlama programı aracılığıyla iletişime geçtiğini söyledi ancak şirket bunun gerçek bir sorun olmadığını söyledi. Değişimin bir kopyasını Gizmodo ile paylaştı. Tesla, e-postada “Araştırdık ve amaçlanan davranışın bu olduğunu belirledik” dedi. “Bağlantı verdiğiniz kullanıcı kılavuzu sayfasının ‘Telefon Anahtarı’ bölümünde, telefon anahtarı eklemek için anahtar kartının gerekli olduğundan bahsedilmiyor.”
Medyadan gelen soruları genellikle görmezden gelen Tesla, yorum talebine hemen yanıt vermedi.
Mysk, “Tesla Ürün Güvenliği ekibinin bunun ‘amaçlanan davranış’ olduğunu doğrulaması mantıksız” dedi. “Telefon anahtarını eşleştirmeye yönelik tasarım, güvenlik pahasına açıkça son derece kolay hale getirildi.”
Mysk’e göre, fiziksel anahtar kartı yalnızca arıza korumalı bir mekanizma olarak telefon anahtarının “doğrulanması” için gerekli gibi görünüyor. Mysk’in testlerinde, arabanın yanında dururken veya arabada otururken telefon anahtarını ayarlayabildi. Araba çok uzakta olsaydı kurulum işlemi başarısız olurdu ve uygulama fiziksel anahtar kartını isterdi. Ancak yakınlarda olduğu sürece Mysk, anahtar kartı olmadan yeni bir telefon anahtarı ekleyebileceğini söyledi.
Mysk, “Tesla’nın mevcut tasarımıyla, eğer bir saldırgan kurbanın kullanıcı adını ve şifresini biliyorsa, kurbanın aracını alıp gidebilir” dedi. “Eğer bir kurban kimlik bilgilerini açığa çıkaracak şekilde kandırılırsa, hepsini kaybetmemelidir. Arabalarını kaybetmemeliler.”
Palet Sıfır hobiciler, bilgisayar korsanları ve onları durdurmak isteyenler için tasarlanmış tartışmalı bir cihazdır. Dijital bir İsviçre çakısı gibi. çeşitli kablosuz bağlantı özellikleri Bu, diğer cihazlarla oynamanıza (ve bunlara girmenize) olanak tanır. Son zamanlarda Flipper’ın kurucu ortağı Gizmodo’ya cihazın asıl amacının Büyük teknolojinin kalitesiz güvenlik uygulamalarını ortaya çıkarın. Ancak Tesla’nın bu güvenlik açığından aynı şekilde yararlanmanıza olanak tanıyan çok çeşitli başka ucuz cihazların da bulunduğunu belirtmekte fayda var.
Tesla’nın bu sorunu çözmesi zor olmayacak. Mysk, şirketin telefon anahtarlarını eklemeden önce anahtar kartı kimlik doğrulamasını zorunlu hale getirmesi gerektiğini ve Tesla’nın yeni anahtarlar oluşturulduğunda kullanıcıları bilgilendirmesi gerektiğini söyledi. Ancak şirket harekete geçmezse Tesla sahipleri ördek gibi kalabilir.
Bazen şık ve gösterişli bir bilgisayar arayüzü bir güvenlik yanılsaması taşır, ancak çoğu zaman ekstra karmaşıklık katmanları bizi daha savunmasız hale getirir. 20 yıl önce, araba hırsızlarının temelde iki seçeneği vardı: sürücünün anahtarlığını ele geçirmek ya da araca sıcak kablo bağlamak. Ancak arabanızın anahtarı birler ve sıfırlardan oluşuyorsa işler karışabilir.