Araçların kilidini fiziksel anahtarlar yerine akıllı telefon uygulamaları kullanarak açmak önemli kolaylıklar sağlarken, saldırı yüzeyini de önemli ölçüde genişletiyor.
Güvenlik araştırmacıları, Tesla sahiplerini arabalarının kontrolünü kötü niyetli bir üçüncü tarafa devretmeleri için kandırmak amacıyla Flipper Zero bağlantılı bir cihaz kullanan bir yöntem keşfettiler. Bu, aracın kilidini açmanıza ve hatta yola çıkmanıza olanak sağlar.
Araştırmacıları Mysk A.Ş. Tesla sahibini, aracının oturum açma bilgilerinden vazgeçmesi için kandıracak bir yöntem geliştirdiler. Bir bilgisayar korsanı, sahte bir Tesla Wi-Fi ağı oturum açma sayfası yayınlamak için Flipper Zero’yu ve bir Wi-Fi geliştirme kartını kullanır – “Tesla Guest”, hizmet merkezlerindeki Wi-Fi ağlarına verilen addır – ve ardından oturum açmak için bu kimlik bilgilerini kullanır sahibinin hesabına girin ve araba için yeni sanal “anahtarlar” oluşturun.
Bu saldırı iki faktörlü kimlik doğrulamayı atlıyor
Sahibin sahte giriş sayfasına girdiği her şey (kullanıcı adı, şifre ve iki faktörlü kimlik doğrulama kodu) daha sonra yakalanıp Flipper Zero’da görüntüleniyor.
İşte sürece ilişkin bir genel bakış.
Bu saldırı aynı zamanda iki faktörlü kimlik doğrulamayı da atlıyor çünkü sahte Tesla misafir Wi-Fi giriş sayfası, bilgisayar korsanının daha sonra hesaba erişmek için kullandığı iki faktörlü kimlik doğrulama kodunu istiyor. Bu, bilgisayar korsanının hızlı bir şekilde çalışması ve bu kodu talep edebilmesi ve ardından hesaba erişim sağlamak için hızlı bir şekilde kullanabilmesi gerektiği anlamına gelir.
Bu saldırıyı gerçekleştirmek için kullanılabilecek birçok başka araç var
Tesla’nın sağladığı fiziksel anahtar kart sizi bu saldırıya karşı koruyacak mı? Kullanım kılavuzuna göre evet, çünkü bu “anahtar kart, Model 3 ile çalışan akıllı telefon anahtarlarının ‘kimlik doğrulaması’ için ve diğer anahtarları eklemek veya kaldırmak için kullanılıyor.” Ancak Mysk’e göre durum böyle değil.
Mysk, bu güvenlik açığı hakkında yorum yapmak için Tesla ile temasa geçtiğini ve kendisine şirketin “araştırdığını ve amaçlanan davranışın bu olduğunu belirlediğinin” söylendiğini söyledi ki bu da endişe verici. Mysk, Tesla’nın uygulamada yeni anahtarlar oluşturmak için anahtar kartının kullanılmasını zorunlu hale getirmesini ve yeni anahtarlar oluşturulduğunda sahiplerin bilgilendirilmesini öneriyor.
Mysk ve Bakry burada Flipper Zero kullanıyor ancak bu saldırıyı gerçekleştirmek için Wi-Fi Pineapple veya Wi-Fi Nugget gibi başka birçok araç da mevcut.
Bu tür saldırılara karşı kendinizi nasıl korursunuz?
ZDNET yorum yapmak için Tesla’ya ulaştı ve bu makaleyi onların yanıtlarıyla güncelleyeceğiz.
Bu tür saldırılara karşı kendinizi nasıl korursunuz? Öncelikle panik yapmayın. Bu saldırının yaygın olması pek olası değil: Saldırganın aracınızın yakınında olması ve Tesla hesabınıza gerçek zamanlı olarak giriş yapması gerekir.
İkinci olarak, Tesla’nın misafir Wi-Fi hesabına giriş yapabilmek için iki faktörlü kimlik doğrulama kodunuzu girmenize gerek olmadığını unutmayın. Şüphe duyduğunuzda ücretsiz Wi-Fi’den kaçının.
Flipper Zero’da daha ileri gitmek için
Kaynak : “ZDNet.com”