駭客可利用中間人攻擊進行網路釣魚輕鬆解鎖特斯拉

外媒近日報導，新研究揭露駭客利用中間人攻擊(MiTM)進行網路釣魚，能在鄰近區域快速入侵特斯拉用戶帳戶的簡單方法。這種攻擊針對的是最新的特斯拉應用程式4.30.6版和特斯拉軟體11.1 2024.2.7版。
 
首先，駭客在特斯拉充電站等地方建立一個名為「Tesla Guest」的WiFi熱點網路。許多車主曾在特斯拉服務中心看到過這個SSID名稱，因此容易上當連線。
 
受害車主一旦連上該網路，就會看到一個偽造的特斯拉登入頁面。不知情的受害者在此輸入帳號密碼，駭客就能同時收到。
 
接著，偽造系統會要求輸入一次性密碼，以幫助攻擊者繞過雙因素身份驗證保護。受害者若也填上這個兩步驟驗證碼，駭客即可順利登入這個特斯拉帳戶。
 
掌握用戶帳戶後，攻擊者可查看車輛位置，更關鍵的是可新增一個手機鑰匙。這只需駭客手機與車輛相距幾公尺即可完成。
 
手機鑰匙利用特斯拉的行動應用程式與車主的智慧型手機配合，透過安全的藍芽連線自動鎖定和解鎖車輛。
 
新增手機鑰匙無須車主授權，也不會在車載系統和應用程式發出任何警示。駭客就這樣獲得了開車離開的權限。
 
研究人員指出，這種攻擊在特斯拉Model 3上有效。已將此漏洞告知特斯拉，但該公司認為屬於正常運作，未計劃修補。顯然汽車製造商尚未充分重視這個安全缺陷。
 
這次研究發現特施拉設計的手機鑰匙身份驗證機制過於簡單，存在重大風險。車主們應謹慎使用該功能，或者改用更安全的實體卡鑰匙啟動。
 
研究人員使用Flipper Zero進行了這次網路釣魚攻擊，但也可以輕鬆地透過其他設備，如電腦、樹莓派或Android手機來執行。
 
對於有心人士來說，駭入特斯拉系統並入侵車輛已經不再是難事。資安專家呼籲汽車業者加強連網汽車的駭客防護。

本文轉載自bleepingcomputer。