Este artículo apareció originalmente en Business Insider.
Si posee un Tesla, es posible que desee tener mucho cuidado al iniciar sesión en las redes WiFi en las estaciones de carga de Tesla.
Los investigadores de seguridad Tommy Mysk y Talal Haj Bakry de Mysk Inc. lanzó un video de YouTube el jueves Explique lo fácil que puede ser para los piratas informáticos robar su automóvil utilizando un ingenioso truco de ingeniería social.
Asi es como funciona.
Muchas estaciones de carga Tesla: hay más 50.000 en el mundo – Según el vídeo de Mysk, ofrecer una red WiFi, normalmente llamada “Tesla Guest”, en la que los propietarios de Tesla pueden iniciar sesión y utilizar mientras esperan que se cargue su coche.
Usando un dispositivo llamado Flipper Zero – un herramienta de hacking sencilla por $169 — Los investigadores crearon su propia red WiFi “Tesla Guest”. Cuando una víctima intenta acceder a la red, es redirigida a una página de inicio de sesión falsa de Tesla creada por los piratas informáticos, quienes luego roban su nombre de usuario, contraseña y código de autenticación de dos factores directamente desde la página duplicada.
Aunque Mysk utilizó un Flipper Zero para configurar su propia red Wi-Fi, este paso del proceso también se puede realizar con casi cualquier dispositivo inalámbrico, como una Raspberry Pi, una computadora portátil o un teléfono celular, dijo Mysk en el video.
Una vez que los piratas informáticos han robado las credenciales de la cuenta Tesla del propietario, pueden usarlas para iniciar sesión en la aplicación Tesla real, pero deben hacerlo rápidamente antes de que caduque el código 2FA, explica Mysk en el video.
Una de las características únicas de los vehículos Tesla es que los propietarios pueden usar su teléfono como llave digital para desbloquear su automóvil sin la necesidad de una tarjeta de acceso física.
Después de iniciar sesión en la aplicación con las credenciales del propietario, los investigadores configuraron una nueva clave de teléfono mientras se encontraban a unos metros del automóvil estacionado.
Los piratas informáticos ni siquiera tendrían que robar el coche de inmediato; Podrían rastrear la ubicación del Tesla a través de la aplicación y robarlo más tarde.
Mysk dijo que el desprevenido propietario de Tesla ni siquiera será notificado cuando se configure una nueva clave de teléfono. Y aunque el manual de usuario del Tesla Model 3 establece que se requiere la tarjeta física para configurar una nueva clave de teléfono, Mysk descubrió que ese no era el caso, según el video.
“Esto significa que un propietario con una dirección de correo electrónico y una contraseña filtradas podría perder su vehículo Tesla. Eso es una locura”, dijo Tommy Mysk. Gizmodo dijo. “Los ataques de phishing y de ingeniería social están muy extendidos hoy en día, especialmente con la aparición de tecnologías de inteligencia artificial, y las empresas responsables deben considerar esos riesgos en sus modelos de amenazas”.
Cuando Mysk informó del problema a Tesla, la compañía respondió que había investigado y determinado que no era un problema, dijo Mysk en el video.
Tesla no respondió a la solicitud de comentarios de Business Insider.
Tommy Mysk dijo que probó el método en su propio vehículo varias veces e incluso usó un iPhone reiniciado que nunca antes había sido emparejado con el vehículo, informó Gizmodo. Mysk afirmó que funcionó siempre.
Mysk dijo que hicieron el experimento sólo con fines de investigación y dijo que nadie debería robar autos (estamos de acuerdo).
Al final de su video, Mysk dijo que el problema podría resolverse si Tesla hiciera obligatoria la autenticación con tarjeta de clave física y notificara a los propietarios cuando se crea una nueva clave de teléfono.
Esta no es la primera vez que investigadores expertos encuentran formas relativamente fáciles de piratear Teslas.
En 2022 un El joven de 19 años dijo que pirateó 25 Teslas en todo el mundo (aunque la vulnerabilidad específica ya se ha solucionado); luego en el año, Una empresa de seguridad encontró otra manera hackear Teslas desde cientos de kilómetros de distancia.