Kena Betancur/Getty Images
- Hacker haben eine potenzielle neue Möglichkeit, Ihren Tesla zu stehlen.
- Forscher haben ein gefälschtes Tesla-WLAN-Netzwerk erstellt, um die Anmeldeinformationen des Besitzers zu stehlen und einen neuen Telefonschlüssel einzurichten.
- Die Teams haben zuvor bereits weitere Hacker-Schwachstellen in den Hightech-Teslas gefunden.
Wenn Sie einen Tesla besitzen, sollten Sie beim Einloggen in die WLAN-Netzwerke an Tesla-Ladestationen möglicherweise besonders vorsichtig sein.
Die Sicherheitsforscher Tommy Mysk und Talal Haj Bakry von Mysk Inc. veröffentlichte am Donnerstag ein YouTube-Video Erklären Sie, wie einfach es für Hacker sein kann, mithilfe eines cleveren Social-Engineering-Tricks mit Ihrem Auto davonzulaufen.
So funktioniert das.
Viele Tesla-Ladestationen – davon gibt es über 50.000 auf der Welt – Bieten Sie laut Mysks Video ein WiFi-Netzwerk an, das normalerweise „Tesla Guest“ genannt wird und in das sich Tesla-Besitzer einloggen und es nutzen können, während sie darauf warten, dass ihr Auto aufgeladen wird.
Verwendung eines Geräts namens Flipper Zero – a einfaches Hacking-Tool für 169 $ — Die Forscher haben ihr eigenes WLAN-Netzwerk „Tesla Guest“ erstellt. Wenn ein Opfer versucht, auf das Netzwerk zuzugreifen, wird es zu einer gefälschten Tesla-Anmeldeseite weitergeleitet, die von den Hackern erstellt wurde, die dann ihren Benutzernamen, ihr Passwort und ihren Zwei-Faktor-Authentifizierungscode direkt von der Duplikatseite stehlen.
Obwohl Mysk einen Flipper Zero verwendet hat, um sein eigenes WLAN-Netzwerk einzurichten, kann dieser Schritt des Prozesses auch mit fast jedem drahtlosen Gerät durchgeführt werden, etwa einem Raspberry Pi, einem Laptop oder einem Mobiltelefon, sagte Mysk im Video.
Sobald die Hacker die Zugangsdaten zum Tesla-Konto des Besitzers gestohlen haben, können sie sich damit in die echte Tesla-App einloggen, allerdings müssen sie dies schnell tun, bevor der 2FA-Code abläuft, erklärt Mysk im Video.
Eine der einzigartigen Funktionen von Tesla-Fahrzeugen besteht darin, dass Besitzer ihr Telefon als digitalen Schlüssel verwenden können, um ihr Auto zu entriegeln, ohne dass eine physische Schlüsselkarte erforderlich ist.
Nachdem sie sich mit den Zugangsdaten des Besitzers bei der App angemeldet hatten, richteten die Forscher einen neuen Telefonschlüssel ein, während sie sich ein paar Meter vom geparkten Auto entfernt hielten.
Die Hacker müssten das Auto nicht einmal sofort stehlen; Sie könnten den Standort des Tesla über die App verfolgen und ihn später stehlen.
Mysk sagte, der ahnungslose Tesla-Besitzer werde nicht einmal benachrichtigt, wenn ein neuer Telefonschlüssel eingerichtet werde. Und obwohl in der Bedienungsanleitung des Tesla Model 3 steht, dass die physische Karte zum Einrichten eines neuen Telefonschlüssels erforderlich ist, stellte Mysk laut Video fest, dass dies nicht der Fall war.
„Das bedeutet, dass ein Besitzer mit einer geleakten E-Mail-Adresse und einem Passwort sein Tesla-Fahrzeug verlieren könnte. Das ist verrückt“, sagte Tommy Mysk sagte Gizmodo. „Phishing- und Social-Engineering-Angriffe sind heutzutage weit verbreitet, insbesondere mit dem Aufkommen von KI-Technologien, und verantwortungsbewusste Unternehmen müssen solche Risiken in ihren Bedrohungsmodellen berücksichtigen.“
Als Mysk Tesla das Problem meldete, antwortete das Unternehmen, dass es Nachforschungen angestellt und entschieden habe, dass es sich nicht um ein Problem handele, sagte Mysk im Video.
Tesla antwortete nicht auf die Bitte von Business Insider um einen Kommentar.
Tommy Mysk sagte, er habe die Methode mehrmals an seinem eigenen Fahrzeug getestet und sogar ein zurückgesetztes iPhone verwendet, das noch nie zuvor mit dem Fahrzeug gekoppelt worden sei, berichtete Gizmodo. Mysk behauptete, es habe jedes Mal funktioniert.
Mysk sagte, sie hätten das Experiment nur zu Forschungszwecken durchgeführt und sagten, niemand sollte Autos stehlen (wir stimmen zu).
Am Ende ihres Videos sagte Mysk, dass das Problem behoben werden könnte, wenn Tesla die Authentifizierung per physischer Schlüsselkarte obligatorisch machen und die Besitzer benachrichtigen würde, wenn ein neuer Telefonschlüssel erstellt wird.
Dies ist nicht das erste Mal, dass versierte Forscher relativ einfache Wege gefunden haben, sich in Teslas zu hacken.
Im Jahr 2022 sagte ein 19-Jähriger, er habe sich in 25 Teslas auf der ganzen Welt gehackt (obwohl die spezifische Schwachstelle inzwischen behoben wurde); Später in diesem Jahr fand eine Sicherheitsfirma eine andere Möglichkeit, sich aus Hunderten von Kilometern Entfernung in Teslas einzuhacken.