Flipper Zero usato per aprire e avviare una Tesla
Come si accede all’account e si ruba una Tesla
La vulnerabilità è presente nella versione 4.30.6 dell’app Tesla. L’attacco mostrato dai due ricercatori combina ingegneria sociale e phishing. Usando il Flipper Zero è possibile creare una rete WiFi con SSID “Tesla Guest“, come quelle usate dai supercharger, le stazioni di ricarica di Tesla.
L’ignara vittima che si collega alla rete WiFi vede sullo schermo dello smartphone una schermata di login fasulla, in cui inserisce email, password e codice OTP dell’autenticazione in due fattori. Questi dati vengono catturati dal Flipper Zero e usati nell’app Tesla. Il malintenzionato vede quindi la posizione dell’automobile.
Il ladro apre quindi le portiere e ruba la Tesla. Dopo aver ricevuto la segnalazione del problema, la casa automobilistica ha comunicato che non c’è nessuna vulnerabilità. Infatti, il programma Bug Bounty non prevede ricompense per attacchi di ingegneria sociale e phishing.
Come evidenziano i due ricercatori, la soluzione sarebbe molto semplice. Basta richiedere l’uso della Key Card RFID anche per aggiungere una Phone Key, come richiesto quando l’utente vuole eliminare le altre Phone Key.
Leggi l’articolo originale >> Flipper Zero usato per aprire e avviare una Tesla