Cet article a été initialement publié sur Interne du milieu des affaires.
Si vous possédez une Tesla, vous souhaiterez peut-être être très prudent en vous connectant aux réseaux WiFi des bornes de recharge Tesla.
Les chercheurs en sécurité Tommy Mysk et Talal Haj Bakry de Mysk Inc. a publié une vidéo YouTube jeudi expliquant à quel point il peut être facile pour les pirates de s’enfuir avec votre voiture en utilisant une astuce astucieuse d’ingénierie sociale.
Voici comment cela fonctionne.
De nombreuses bornes de recharge Tesla – il y en a plus 50 000 dans le monde – proposent un réseau WiFi généralement appelé « Tesla Guest » auquel les propriétaires de Tesla peuvent se connecter et utiliser pendant qu’ils attendent que leur voiture soit chargée, selon la vidéo de Mysk.
À l’aide d’un appareil appelé Flipper Zero – un outil de piratage simple à 169 $ — les chercheurs ont créé leur propre réseau WiFi « Tesla Guest ». Lorsqu’une victime tente d’accéder au réseau, elle est redirigée vers une fausse page de connexion Tesla créée par les pirates, qui volent ensuite son nom d’utilisateur, son mot de passe et son code d’authentification à deux facteurs directement à partir du site en double.
Bien que Mysk ait utilisé un Flipper Zero pour configurer son propre réseau WiFi, cette étape du processus peut également être effectuée avec presque n’importe quel appareil sans fil, comme un Raspberry Pi, un ordinateur portable ou un téléphone portable, a déclaré Mysk dans la vidéo.
Une fois que les pirates ont volé les informations d’identification du compte Tesla du propriétaire, ils peuvent les utiliser pour se connecter à la véritable application Tesla, mais ils doivent le faire rapidement avant l’expiration du code 2FA, explique Mysk dans la vidéo.
L’une des caractéristiques uniques des véhicules Tesla est que les propriétaires peuvent utiliser leur téléphone comme clé numérique pour déverrouiller leur voiture sans avoir besoin d’une carte-clé physique.
Une fois connectés à l’application avec les informations d’identification du propriétaire, les chercheurs ont configuré une nouvelle clé de téléphone tout en restant à quelques mètres de la voiture garée.
Les pirates n’auraient même pas besoin de voler la voiture sur-le-champ ; ils pourraient suivre l’emplacement de la Tesla depuis l’application et la voler plus tard.
Mysk a déclaré que le propriétaire sans méfiance de Tesla n’est même pas averti lorsqu’une nouvelle clé de téléphone est configurée. Et bien que le manuel du propriétaire de la Tesla Model 3 indique que la carte physique est requise pour configurer une nouvelle clé de téléphone, Mysk a découvert que ce n’était pas le cas, selon la vidéo.
« Cela signifie qu’avec une fuite d’e-mail et de mot de passe, un propriétaire pourrait perdre son véhicule Tesla. C’est insensé », Tommy Mysk dit à Gizmodo. « Les attaques de phishing et d’ingénierie sociale sont très courantes aujourd’hui, en particulier avec l’essor des technologies d’IA, et les entreprises responsables doivent prendre en compte ces risques dans leurs modèles de menace. »
Lorsque Mysk a signalé le problème à Tesla, la société a répondu qu’elle avait enquêté et décidé qu’il ne s’agissait pas d’un problème, a déclaré Mysk dans la vidéo.
Tesla n’a pas répondu à la demande de commentaires de Business Insider.
Tommy Mysk a déclaré avoir testé la méthode à plusieurs reprises sur son propre véhicule et avoir même utilisé un iPhone réinitialisé qui n’avait jamais été couplé au véhicule auparavant, a rapporté Gizmodo. Mysk a affirmé que cela fonctionnait à chaque fois.
Mysk a déclaré qu’ils avaient mené l’expérience à des fins de recherche uniquement et que personne ne devrait voler de voitures (nous sommes d’accord).
À la fin de sa vidéo, Mysk a déclaré que le problème pourrait être résolu si Tesla rendait obligatoire l’authentification physique par carte-clé et informait les propriétaires lorsqu’une nouvelle clé de téléphone est créée.
Ce n’est pas la première fois que des chercheurs avisés trouvent des moyens relativement simples de pirater Tesla.
En 2022, un Un jeune de 19 ans a déclaré avoir piraté 25 Teslas dans le monde entier (bien que la vulnérabilité spécifique ait depuis été corrigée) ; plus tard cette année, une entreprise de sécurité a trouvé un autre moyen pour pirater des Tesla à des centaines de kilomètres.
mars 8, 2024
Les pirates ont trouvé un nouveau moyen simple de voler une Tesla. Voici comment.
Cet article a été initialement publié sur Interne du milieu des affaires.
Si vous possédez une Tesla, vous souhaiterez peut-être être très prudent en vous connectant aux réseaux WiFi des bornes de recharge Tesla.
Les chercheurs en sécurité Tommy Mysk et Talal Haj Bakry de Mysk Inc. a publié une vidéo YouTube jeudi expliquant à quel point il peut être facile pour les pirates de s’enfuir avec votre voiture en utilisant une astuce astucieuse d’ingénierie sociale.
Voici comment cela fonctionne.
De nombreuses bornes de recharge Tesla – il y en a plus 50 000 dans le monde – proposent un réseau WiFi généralement appelé « Tesla Guest » auquel les propriétaires de Tesla peuvent se connecter et utiliser pendant qu’ils attendent que leur voiture soit chargée, selon la vidéo de Mysk.
À l’aide d’un appareil appelé Flipper Zero – un outil de piratage simple à 169 $ — les chercheurs ont créé leur propre réseau WiFi « Tesla Guest ». Lorsqu’une victime tente d’accéder au réseau, elle est redirigée vers une fausse page de connexion Tesla créée par les pirates, qui volent ensuite son nom d’utilisateur, son mot de passe et son code d’authentification à deux facteurs directement à partir du site en double.
Bien que Mysk ait utilisé un Flipper Zero pour configurer son propre réseau WiFi, cette étape du processus peut également être effectuée avec presque n’importe quel appareil sans fil, comme un Raspberry Pi, un ordinateur portable ou un téléphone portable, a déclaré Mysk dans la vidéo.
Une fois que les pirates ont volé les informations d’identification du compte Tesla du propriétaire, ils peuvent les utiliser pour se connecter à la véritable application Tesla, mais ils doivent le faire rapidement avant l’expiration du code 2FA, explique Mysk dans la vidéo.
L’une des caractéristiques uniques des véhicules Tesla est que les propriétaires peuvent utiliser leur téléphone comme clé numérique pour déverrouiller leur voiture sans avoir besoin d’une carte-clé physique.
Une fois connectés à l’application avec les informations d’identification du propriétaire, les chercheurs ont configuré une nouvelle clé de téléphone tout en restant à quelques mètres de la voiture garée.
Les pirates n’auraient même pas besoin de voler la voiture sur-le-champ ; ils pourraient suivre l’emplacement de la Tesla depuis l’application et la voler plus tard.
Mysk a déclaré que le propriétaire sans méfiance de Tesla n’est même pas averti lorsqu’une nouvelle clé de téléphone est configurée. Et bien que le manuel du propriétaire de la Tesla Model 3 indique que la carte physique est requise pour configurer une nouvelle clé de téléphone, Mysk a découvert que ce n’était pas le cas, selon la vidéo.
« Cela signifie qu’avec une fuite d’e-mail et de mot de passe, un propriétaire pourrait perdre son véhicule Tesla. C’est insensé », Tommy Mysk dit à Gizmodo. « Les attaques de phishing et d’ingénierie sociale sont très courantes aujourd’hui, en particulier avec l’essor des technologies d’IA, et les entreprises responsables doivent prendre en compte ces risques dans leurs modèles de menace. »
Lorsque Mysk a signalé le problème à Tesla, la société a répondu qu’elle avait enquêté et décidé qu’il ne s’agissait pas d’un problème, a déclaré Mysk dans la vidéo.
Tesla n’a pas répondu à la demande de commentaires de Business Insider.
Tommy Mysk a déclaré avoir testé la méthode à plusieurs reprises sur son propre véhicule et avoir même utilisé un iPhone réinitialisé qui n’avait jamais été couplé au véhicule auparavant, a rapporté Gizmodo. Mysk a affirmé que cela fonctionnait à chaque fois.
Mysk a déclaré qu’ils avaient mené l’expérience à des fins de recherche uniquement et que personne ne devrait voler de voitures (nous sommes d’accord).
À la fin de sa vidéo, Mysk a déclaré que le problème pourrait être résolu si Tesla rendait obligatoire l’authentification physique par carte-clé et informait les propriétaires lorsqu’une nouvelle clé de téléphone est créée.
Ce n’est pas la première fois que des chercheurs avisés trouvent des moyens relativement simples de pirater Tesla.
En 2022, un Un jeune de 19 ans a déclaré avoir piraté 25 Teslas dans le monde entier (bien que la vulnérabilité spécifique ait depuis été corrigée) ; plus tard cette année, une entreprise de sécurité a trouvé un autre moyen pour pirater des Tesla à des centaines de kilomètres.
Source link
Partager :
Articles similaires