Entre más conectados están los autos a las redes de internet, más puertas se abren a posibles 'hackers' para intervenir sus sistemas, y esto pone en tela de duda la seguridad de los vehículos, en este caso en particular la de los Tesla.
Investigadores de seguridad han expuesto una técnica de ingeniería social que podría permitir a los 'hackers' tomar control de estos autos eléctricos. El descubrimiento, presentado por Tommy Mysk y Talal Haj Bakry de Mysk Inc. en su blog, subraya una vulnerabilidad crítica en el proceso de autenticación de los propietarios de Tesla.
La investigación se centró en las estaciones de carga de Tesla, las cuales proveen una red WiFi denominada "Tesla Guest" para uso de los propietarios. Explotando esta característica, mediante el uso de un dispositivo de hacking económico conocido como Flipper Zero, los investigadores demostraron cómo es posible crear una red WiFi falsa con el mismo nombre.
Los propietarios de Tesla que intentan conectarse a esta red fraudulenta son redirigidos a una página de inicio de sesión falsificada, donde sus credenciales y códigos de autenticación de dos factores son robados.
Esta técnica no solo es aplicable con un Flipper Zero, sino que también puede ser ejecutada con prácticamente cualquier dispositivo inalámbrico, desde un Raspberry Pi hasta un smartphone, aumentando significativamente el riesgo de que esta vulnerabilidad sea explotada por personas malintencionadas.
Una vez obtenidas las credenciales de acceso, los atacantes pueden ingresar a la aplicación oficial de Tesla y configurar una nueva "llave digital" desde su dispositivo móvil, permitiéndoles no solo desbloquear el vehículo sin una llave física, sino también rastrear su ubicación y potencialmente robarlo en otro momento.
Lo alarmante es que el propietario del Tesla no recibe ninguna notificación cuando se configura una nueva llave digital, contradiciendo las directrices del manual del propietario que indican la necesidad de una tarjeta física para este proceso.
Esta vulnerabilidad ha sido comunicada a Tesla por los investigadores, quienes recibieron como respuesta que la compañía había investigado y determinado que no consideraba esto un problema. Esta respuesta es preocupante dado el potencial riesgo para los propietarios de vehículos Tesla.
Para mitigar este riesgo, Mysk sugiere que Tesla debería hacer obligatorio el uso de la tarjeta clave física para crear nuevas llaveres en la aplicación y notificar a los propietarios cuando se generen nuevas llaves.
La comodidad de utilizar aplicaciones móviles como llaves para vehículos lleva consigo un aumento en las opciones de ataque, ofreciendo a los hackers nuevas alternativas.
Comments