https://www.informationsecurity.com.tw/Seminar/2024_TCM/
https://www.informationsecurity.com.tw/Seminar/2024_TCM/

新聞

駭客可利用中間人攻擊進行網路釣魚輕鬆解鎖特斯拉

2024 / 03 / 11
編輯部
駭客可利用中間人攻擊進行網路釣魚輕鬆解鎖特斯拉
外媒近日報導,新研究揭露駭客利用中間人攻擊(MiTM)進行網路釣魚,能在鄰近區域快速入侵特斯拉用戶帳戶的簡單方法。這種攻擊針對的是最新的特斯拉應用程式4.30.6版和特斯拉軟體11.1 2024.2.7版。
 
首先,駭客在特斯拉充電站等地方建立一個名為「Tesla Guest」的WiFi熱點網路。許多車主曾在特斯拉服務中心看到過這個SSID名稱,因此容易上當連線。
 
受害車主一旦連上該網路,就會看到一個偽造的特斯拉登入頁面。不知情的受害者在此輸入帳號密碼,駭客就能同時收到。
 
接著,偽造系統會要求輸入一次性密碼,以幫助攻擊者繞過雙因素身份驗證保護。受害者若也填上這個兩步驟驗證碼,駭客即可順利登入這個特斯拉帳戶。
 
掌握用戶帳戶後,攻擊者可查看車輛位置,更關鍵的是可新增一個手機鑰匙。這只需駭客手機與車輛相距幾公尺即可完成。
 
手機鑰匙利用特斯拉的行動應用程式與車主的智慧型手機配合,透過安全的藍芽連線自動鎖定和解鎖車輛。
 
新增手機鑰匙無須車主授權,也不會在車載系統和應用程式發出任何警示。駭客就這樣獲得了開車離開的權限。
 
研究人員指出,這種攻擊在特斯拉Model 3上有效。已將此漏洞告知特斯拉,但該公司認為屬於正常運作,未計劃修補。顯然汽車製造商尚未充分重視這個安全缺陷。
 
這次研究發現特施拉設計的手機鑰匙身份驗證機制過於簡單,存在重大風險。車主們應謹慎使用該功能,或者改用更安全的實體卡鑰匙啟動。
 
研究人員使用Flipper Zero進行了這次網路釣魚攻擊,但也可以輕鬆地透過其他設備,如電腦、樹莓派或Android手機來執行。
 
對於有心人士來說,駭入特斯拉系統並入侵車輛已經不再是難事。資安專家呼籲汽車業者加強連網汽車的駭客防護。

本文轉載自bleepingcomputer。