外媒近日報導,新研究揭露駭客利用中間人攻擊(MiTM)進行網路釣魚,能在鄰近區域快速入侵特斯拉用戶帳戶的簡單方法。這種攻擊針對的是最新的特斯拉應用程式4.30.6版和特斯拉軟體11.1 2024.2.7版。
首先,駭客在特斯拉充電站等地方建立一個名為「Tesla Guest」的WiFi熱點網路。許多車主曾在特斯拉服務中心看到過這個SSID名稱,因此容易上當連線。
受害車主一旦連上該網路,就會看到一個偽造的特斯拉登入頁面。不知情的受害者在此輸入帳號密碼,駭客就能同時收到。
接著,偽造系統會要求輸入一次性密碼,以幫助攻擊者繞過雙因素身份驗證保護。受害者若也填上這個兩步驟驗證碼,駭客即可順利登入這個特斯拉帳戶。
掌握用戶帳戶後,攻擊者可查看車輛位置,更關鍵的是可新增一個手機鑰匙。這只需駭客手機與車輛相距幾公尺即可完成。
手機鑰匙利用特斯拉的行動應用程式與車主的智慧型手機配合,透過安全的藍芽連線自動鎖定和解鎖車輛。
新增手機鑰匙無須車主授權,也不會在車載系統和應用程式發出任何警示。駭客就這樣獲得了開車離開的權限。
研究人員指出,這種攻擊在特斯拉Model 3上有效。已將此漏洞告知特斯拉,但該公司認為屬於正常運作,未計劃修補。顯然汽車製造商尚未充分重視這個安全缺陷。
這次研究發現特施拉設計的手機鑰匙身份驗證機制過於簡單,存在重大風險。車主們應謹慎使用該功能,或者改用更安全的實體卡鑰匙啟動。
研究人員使用Flipper Zero進行了這次網路釣魚攻擊,但也可以輕鬆地透過其他設備,如電腦、樹莓派或Android手機來執行。
對於有心人士來說,駭入特斯拉系統並入侵車輛已經不再是難事。資安專家呼籲汽車業者加強連網汽車的駭客防護。
現今許多地方都會提供免費的WiFi讓大家使用,但我們無法得知此網路是否安全也無法確認使用後個人資料是否會外洩,若真的需要使用請先安裝好防毒軟體,防毒軟體有一定的能力能夠保護,或者開啟VPN防止駭客竊取資料,使用上也應該避免登入網路銀行等需要提供私人帳密的網站。
詳文請見資安人新聞稿