Hackers slagen in Tesla-diefstal met phishing-aanval
Onderzoekers hebben aangetoond hoe ze Tesla-accounts kunnen hacken en zo de wagens kunnen ontsleutelen en starten. Daarvoor zetten ze een phishingaanval volgens het Man-in-the-Middle-principe op.
Het beveiligingslek, zo meldden Talal Haj Bakry en Tommy Mysk aan Tesla, zit in de manier waarop een nieuwe smartphone aan een wagen wordt gelinkt. De onderzoekers zetten een vals wifi-netwerk op, en konden zo Tesla-eigenaars laten aanmelden op een valse login-pagina. Eenmaal ze toegang tot de account hebben verkregen, kunnen ze in real time de locatie van de wagen zien en – als ze in de buurt ervan zijn – een nieuwe Phone Key aanmaken. Daarmee kunnen ze de wagen via bluetooth ontgrendelen en ermee wegrijden.
De hackers wijzen erop dat de eigenaar geen enkele melding krijgt dat een nieuwe Phone Key is aangemaakt, en dat ze de hele procedure konden uitvoeren zonder dat de wagen in kwestie ontgrendeld was, of de smartphone zich in het voertuig bevond. Ze suggereren dat het gebruik van de fysieke Tesla-sleutelkaart in het registratieproces een extra beveiliging zou vormen.
Bakry en Mysk gebruikten voor hun onderzoek een Flipper Zero, maar merken op dat de aanval net zo goed van op een computer, een Android-telefoon of een Raspberry Pi kan worden opgezet.
Fout opgemerkt of meer nieuws? Meld het hier