I ricercatori hanno dimostrato come sia possibile condurre un attacco di phishing Man-in-the-Middle (MiTM) per compromettere gli account Tesla, sbloccare le auto e avviarle. L’attacco funziona sulla versione dell’app Tesla 4.30.6, e sulla versione software Tesla 11.1 2024.2.7.
Per la dimostrazione dell’attacco, Talal Haj Bakry e Tommy Mysk registrano una nuova “Phone Key” che potrebbe essere utilizzata per accedere alla Tesla, sottolineando che il problema principale risiede nella mancata sicurezza di autenticazione. Sebbene i ricercatori abbiano eseguito questo attacco di phishing utilizzando un Flipper Zero, potrebbe essere facilmente eseguito con altri dispositivi, come un computer, un Raspberry Pi o telefoni Android.
L’attacco consiste nel creare una rete Wi-Fi falsa con SSID Tesla Guest, utilizzato spesso nei centri assistenza Tesla e che quindi può passare maggiormente inosservato. Una volta che l’utente si connette a tale rete, viene accolto da una pagina di login Tesla non ufficiale, permettendo all’hacker di visualizzare sul Flipper Zero tutte le informazioni inserite dalla vittima, credenziali incluse. La pagina di phishing richiede anche una password OTP per eludere l’autenticazione a più fattori.
L’accesso all’account Tesla della vittima consente all’aggressore di aggiungere una nuova “Phone Key”, per questo è necessario che si trovi nelle immediate vicinanze dell’auto, a pochi metri di distanza. Phone Keys utilizza l’app mobile di Tesla insieme allo smartphone del proprietario dell’auto per consentire il bloccaggio e lo sbloccaggio automatico del veicolo, tramite una connessione Bluetooth sicura. Le auto Tesla utilizzano anche le Card Key, che sono sottili carte RFID che devono essere posizionate sul lettore RFID della console centrale per avviare il veicolo. Sebbene siano più sicuri, Tesla li considera un’opzione di backup se la chiave del telefono non è disponibile o è scarica.
Mysk afferma che l’aggiunta di una nuova Phone Key tramite l’app non richiede lo sbloccaggio dell’auto o la presenza dello smartphone all’interno del veicolo, il che crea una significativa lacuna in termini di sicurezza. A rendere l’attacco ancora più elusivo c’è il fatto che il proprietario dell’auto non viene avvisato in alcun modo dell’aggiunta di una nuova Phone Key, garantendo ai malviventi la piena operabilità.
I ricercatori sostengono che richiedere una chiave fisica della scheda Tesla quando si aggiunge una nuova Phone Key migliorerebbe la sicurezza aggiungendo un livello di autenticazione per il nuovo telefono.