歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
新聞
您現在位置 : 首頁 >
新聞
駭客可利用中間人攻擊進行網路釣魚輕鬆解鎖特斯拉
2024 / 03 / 11
編輯部
外媒近日報導,新研究揭露駭客利用中間人攻擊(MiTM)進行網路釣魚,能在鄰近區域快速入侵特斯拉用戶帳戶的簡單方法。這種攻擊針對的是最新的特斯拉應用程式4.30.6版和特斯拉軟體11.1 2024.2.7版。
首先,駭客在特斯拉充電站等地方建立一個名為「Tesla Guest」的WiFi熱點網路。許多車主曾在特斯拉服務中心看到過這個SSID名稱,因此容易上當連線。
受害車主一旦連上該網路,就會看到一個偽造的特斯拉登入頁面。不知情的受害者在此輸入帳號密碼,駭客就能同時收到。
接著,偽造系統會要求輸入一次性密碼,以幫助攻擊者繞過雙因素身份驗證保護。受害者若也填上這個兩步驟驗證碼,駭客即可順利登入這個特斯拉帳戶。
掌握用戶帳戶後,攻擊者可查看車輛位置,更關鍵的是可新增一個手機鑰匙。這只需駭客手機與車輛相距幾公尺即可完成。
手機鑰匙利用特斯拉的行動應用程式與車主的智慧型手機配合,透過安全的藍芽連線自動鎖定和解鎖車輛。
新增手機鑰匙無須車主授權,也不會在車載系統和應用程式發出任何警示。駭客就這樣獲得了開車離開的權限。
研究人員指出,這種攻擊在特斯拉Model 3上有效。已將此漏洞告知特斯拉,但該公司認為屬於正常運作,未計劃修補。顯然汽車製造商尚未充分重視這個安全缺陷。
這次研究發現特施拉設計的手機鑰匙身份驗證機制過於簡單,存在重大風險。車主們應謹慎使用該功能,或者改用更安全的實體卡鑰匙啟動。
研究人員使用Flipper Zero進行了這次網路釣魚攻擊,但也可以輕鬆地透過其他設備,如電腦、樹莓派或Android手機來執行。
對於有心人士來說,駭入特斯拉系統並入侵車輛已經不再是難事。資安專家呼籲汽車業者加強連網汽車的駭客防護。
本文轉載自bleepingcomputer。
MiTM
網路釣魚
車聯網安全
身分驗證
最新活動
2024.10.16
2024 數位經濟資安趨勢論壇
2024.10.17
2024 金融資安趨勢論壇
2024.10.16
駭客集團秘辛大公開!了解組織運作、勒索病毒攻擊手法與應對全攻略
2024.10.30
從政策到實現 - 打造健全的機敏資料保護框架
看更多活動
大家都在看
Microchip ASF 重大資安漏洞,物聯網設備恐遭遠端攻擊
馬來西亞駭客組織DragonForce 利用改良版LockBit和Conti勒索軟體發動攻擊
Whoscall:三成台灣人遇到詐騙後一小時內受騙
NVIDIA Container Toolkit嚴重漏洞允許完全主機接管
RISC-V 新興晶片架構引發資安疑慮
資安人科技網
文章推薦
趨勢科技:裝置與帳號為高風險資產
VicOne 通過TISAX AL3汽車工業資訊安全最高等級認證
Zoom 推出全新企業進階解決方案,助企業打造高效安全的營運環境