Новости технологий

Ученые из компании Promon обнаружили слабые места в Android-приложении Тесла, которые дают возможность получить общий контроль над авто. Как говорят хакеры, при помощи данной «дыры» мошенники могут бравённо украсть авто и отправить его в необходимое место предназначения.

Атака на электронику электрокаров — возлюбленная тематика сегодняшних взломщиков

По данным TrendMicro, около 90 % клиентов Android-устройств располагаются на грани по меньшей мере одной критичной уязвимости. Это выражается тем, что изготовители телефонов не торопятся обновлять прошивки собственных механизмов. Также, специалисты убеждены, что абсолютное большинство мобильных клиентов недостаточно ознакомлены о вероятных угрозах. 89 % клиентов даже не сумели бы осознать, что их устройство инфицировано.

Работа с дополнением стартует с отправки HTTP-запроса к компьютеру Тесла. Все требования должны предложить Oauth-токен. Данный токен клиент приобретает, пройдя аутентификацию при помощи логина и пароля. После первого удачного входа в дополнение Тесла токен сохраняется в открытом виде в документе. Когда дополнение перезагружается, токен считывается и применяется для отправки свежих запросов. По опытным испытаниям экспертов Promon, данный токен считается валидным в течение 90 суток. Воровство токена обозначает приобретение общего наблюдения над авто (всё, что дает возможность дополнение).

Однако как взломщикам удалось осуществить атаку? Как подчеркивается, для удачной атаки довольно незначительно видоизменять код дополнения Тесла, из-за чего взломщик будет иметь возможность приобретать все введённые аутентификационные данные на собственную e-mail. Смена необычного дополнения вероятна при помощи так именуемой атаки с увеличением льгот (вроде злобных программ Godless и HummingBad). Как только нападающий приобретает root-права, у него открывается большое поле работы. Впрочем, ещё придётся вынудить клиента установить злобное дополнение. Однако, по заявлению команды Promon, это также вероятно при помощи знаменитых способов.

К примеру, можно осуществить фишинг-атаку с мнимый точкой доступа Wifi. В пробной атаке хакеры устроили такую фейковую беспроводную установку. Она перенаправляла клиента на сайт с рекламой дополнения, которое будто бы предлагает всем обладателям авто Тесла свободный ужин в обозримом баре. Далее — дело техники. Разумеется, не все хлопнут на подобную удочку, однако шанс у преступников большой.

Эксперты Promon рекомендуют Тесла придерживаться определенных требований, которые позволят сблизить опасности безопасности к максимуму. К примеру, дополнение должно уметь собственноручно устанавливать попытки версии. Токен не должен храниться в открытом виде. Безопасность вполне может быть поднята при применении двухфакторной аутентификации. Также дополнение может подключать свою клавиатуру, что убережёт клиентов от вирусов-кейлоггеров. Полезным будет предохранить дополнение и от обратной инженерии.