Smartfon z Androidem to szybki sposób na przejażdżkę Teslą

163

Tesla – elektryczny supersamochód, marzenie każdego. Żeby jednak wejść w jego posiadanie trzeba przygotować niemałą sumkę pieniędzy, więc mało osób może sobie na to pozwolić. Okazuje się, że w przypadku, gdy właściciel posiada telefon z systemem Android wystarczy zainstalować na nim złośliwe oprogramowanie, aby móc beztrosko jeździć Teslą, bez zgody jej prawowitego właściciela.

Wcześniejsze próby hakowania Tesli opierały się o zainfekowanie oprogramowania samochodu. Z pomocą tej metody w zeszłym miesiącu chińscy badacze z Keen Lab przejęli kontrolę nad Teslą Model S. Pozwoliła ona kierować samochodem z odległości prawie 20 km.  Jednak norwescy specjaliści od zabezpieczeń Promon, podjęli próbę z zupełnie innej strony. Postanowili oni zastosować fabryczną aplikację Tesli na androida, z której korzysta większość użytkowników do interakcji z pojazdem.

Aplikacja Tesli jest jak otwarte drzwi dla hakerówautoblog

Główny powód, dlaczego tak jest wynika ze sposobu działania aplikacji. Dla wygody użytkownika oprogramowanie wykorzystuje specjalny token – klucz, który jest generowany po pierwszym logowaniu. To rozwiązanie pozwala na jednorazowe wprowadzenie hasła, bez konieczności ponawiania przy każdym wejściu do samochodu. Oczywiście aplikacja nie trzyma tego tokena w nieskończoność, wygasa on po 90 dniach i konieczne jest ponowne logowanie. Przy każdym wprowadzeniu danych użytkownika generuje się nowy klucz. Świetny krok w kierunku komfortu korzystania. Tylko czy na pewno?

Okazuje się, ze aplikacja Tesli przechowuje token w niezabezpieczonym pliku tekstowym, w folderze „sandbox”. Pozwala to na łatwe odczytanie go przez osoby posiadające jakikolwiek dostęp do telefonu właściciela. Ponadto Promon zauważa, że nie trzeba mieć specjalnych umiejętności, żeby stworzyć szkodliwą aplikację, która dostanie się do plików systemowych wykorzystując gotowe narzędzia typu Towelroot lub Kingroot, a z ich pomocą odczytać token z pliku i wysłać go na inne urządzenie. Co prawda sam klucz nie pozwoli na uruchomienie samochodu, ponieważ do tego wymagane jest hasło. Jednak gdy szkodliwa aplikacja usunie token, to użytkownik będzie musiał się ponownie zalogować, a wtedy haker będzie posiadał wszystkie potrzebne dane.

Najśmieszniejsze jest to, że chcąc wykonać powyższe czynności nie trzeba wcale tworzyć nowego oprogramowania, wystarczy niewielka ingerencja w kod aplikacji producenta. Po tych modyfikacjach będzie można uzyskać dane, które pozwolą na korzystanie z pełnej funkcjonalności samochodu, zaczynając od uruchomienia, możliwości poruszania się, oczywiście otwarcia drzwi, a nawet śledzenia pojazdu.  Nie polecam wykorzystywać tego tekstu jako poradnik DIY.

Czy jest szansa, żeby się przed tym zabezpieczyć?

Aplikacja Tesla

Aplikacja Tesla

Najważniejsze to nie dopuścić do zainfekowania aplikacji. Ważne, aby zwrócić szczególną uwagę na pliki, które instaluje się na telefonie. Nie jest to jednak takie proste, nawet Promon pokazał, że wystarczy do tego wykorzystać darmowy hotspot WiFi, z którego każdy z nas korzysta. Do uruchomienia takiego wystarczy dzisiaj dowolny smartfon. Punkt dostępu przy połączeniu może wymagać pobrania certyfikatu autentyczności lub zainstalowania dodatkowej aplikacji, i bum! Już mamy zainfekowany program na komórce.

Chociaż Tesla ponosi odpowiedzialność za łatwą możliwość kradzieży tokena, to telefony również nie są bez winy. Mimo tego, że Google co jakiś czas aktualizuje zabezpieczenia Androida , to nie zawsze docierają one do użytkowników.

Jako zabezpieczenie Tesla powinna zastosowanie podwójną autoryzację, gdzie oprócz loginu i hasła, będą wymagane również unikalne dane. Producent powinien również zaprzestać przechowywania tokena w formie nieszyfrowanego tekstu i zastosować inną formę logowania, np. przez podawanie losowo wybranych znaków hasła, co pozwoli zabezpieczyć się przed keyloggerami w komórkach, coś jak w niektórych bankach.

Przykład Tesli pokazuje, że zbyt duża informatyzacja pojazdów może nam zaszkodzić. Od dłuższego czasu spekuluje się, nad możliwością zdalnego dostępu do pojazdu i czy jest ona rzeczywiście bezpieczna. Swego czasu wielu producentów rozważało wprowadzenie funkcji zdalnego zatrzymania pojazdu przez Policję i chociaż miałaby powstać w słusznym celu, nie wiadomo jak jeszcze zostałaby wykorzystana.

 

 

Jakie jest Twoje zdanie na ten temat? Podziel się nim w komentarzu.




Źródła : 1

O autorze /

Inżynier Mechaniki i Budowy Maszyn, informatyk, pasjonat motocykli. Piszę od czasu do czasu o technologii i motoryzacji.

Korzystając ze strony wyrażasz zgodę na używanie cookie, zgodnie z aktualnymi ustawieniami przeglądarki. (Więcej informacji)

Pragniemy, żeby 4WebZones było maksymalnie przystosowane i przyjemne dla indywidualnych potrzeb użytkowników. Żeby było to możliwe nasza strona używa plików cookies, o których możesz dowiedzieć się więcej wchodząc w ten link. Korzystając z naszego serwisu wyrażasz zgodę na używanie plików cookies, dlatego prosimy o potwierdzenie w postaci kliknięcia przycisku "Akceptuj"
Pozdrawiamy, ekipa 4WebZones

Zamknij