MiTM 网络钓鱼攻击可让攻击者解锁并窃取特斯拉

admin
admin
admin
102523
文章
87
评论
2024年3月13日14:53:14评论13 views字数 1500阅读5分0秒阅读模式

扫码领资料

获网安教程

MiTM 网络钓鱼攻击可让攻击者解锁并窃取特斯拉

MiTM 网络钓鱼攻击可让攻击者解锁并窃取特斯拉
MiTM 网络钓鱼攻击可让攻击者解锁并窃取特斯拉
近期,安全研究人员演示了如何通过中间人 (MiTM) 网络钓鱼攻击,进而 入侵Tesla 帐户、解锁汽车并启动汽车。该攻击适用于最新的 Tesla 应用程序版本 4.30.6 和 Tesla 软件版本 11.1 2024.2.7。
作为此次攻击的一部分,安全研究人员Talal Haj Bakry和Tommy Mysk 注册了一个新的“电话密钥”,可用于访问 Tesla。
安全研究人员向特斯拉报告了他们的发现,称将汽车与新手机连接缺乏适当的身份验证安全性。然而,该汽车制造商认为该报告超出了范围。
虽然安全研究人员使用的是Flipper Zero 执行这种网络钓鱼攻击,但这种攻击同样可以使用计算机、Raspberry Pi 或 Android 手机等其他设备轻松完成。

执行该网络钓鱼攻击的详情如下

安全研究人员表示,攻击者可以部署名为“Tesla Guest”的 WiFi 网络,这是 Tesla 服务中心常见的 SSID,非常具有迷惑性。接着使用 Flipper Zero 来广播 WiFi 网络,一旦受害者连接到钓鱼网络,他们就会收到一个虚假的 Tesla 登录页面,要求使用他们的 Tesla 帐户凭据登录。无论受害者在网络钓鱼页面上输入什么,攻击者都可以在 Flipper Zero 上实时看到。
MiTM 网络钓鱼攻击可让攻击者解锁并窃取特斯拉
输入 Tesla 帐户凭据后,网络钓鱼页面会请求该帐户的一次性密码,以帮助攻击者绕过双因素身份验证保护。攻击者必须在 OTP 过期之前采取行动,并使用窃取的凭据登录 Tesla 应用程序。一旦进入帐户,攻击者就可以实时跟踪车辆的位置。此外,攻击者可以通过访问受害者的 Tesla 帐户来添加新的“手机钥匙”。但要执行这一操作,他们必须距离汽车很近,仅几米远。
安全研究人员Mysk表示,通过应用程序添加新的电话钥匙不需要解锁汽车或将智能手机放在车内,这将造成了很大的安全漏洞。
MiTM 网络钓鱼攻击可让攻击者解锁并窃取特斯拉
更糟糕的是,一旦添加了新的电话钥匙,特斯拉车主并不会收到有关该事件的通知,汽车的触摸屏上也不会显示任何警报。使用新的电话钥匙,攻击者可以解锁汽车并激活特斯拉所有系统,让他们像车主一样开车离开。
安全研究人员 Mysk 指出,对特斯拉 Model 3 的攻击是成功的。在给汽车公司的报告中研究人员指出,被劫持的特斯拉帐户必须属于主要驾驶员,并且车辆必须已经链接到手机钥匙。
研究人员认为,在添加新手机钥匙时需要物理特斯拉卡钥匙可以通过为新手机添加身份验证层来提高安全性。
Tommy Mysk 和 Talal Haj Bakry 在给特斯拉的报告中写到,“我能够在新 iPhone 上添加第二个手机钥匙,而 Tesla 应用程序不会提示我使用钥匙卡来验证新 iPhone 上的会话。我只使用我的用户名和密码在新 iPhone 上登录,并且当我授予该应用程序访问定位服务的权限时,它就激活了手机密钥。”
BleepingComputer 已联系特斯拉询问上述问题以及他们是否计划发布 OTA 更新以引入安全措施来防止这些攻击,但尚未收到回复。
原文链接:https://www.bleepingcomputer.com/news/security/mitm-phishing-attack-can-let-attackers-unlock-and-steal-a-tesla/
图片来源:https://www.bleepingcomputer.com/news/security/mitm-phishing-attack-can-let-attackers-unlock-and-steal-a-tesla/

申明:本公众号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,

原文始发于微信公众号(掌控安全EDU):MiTM 网络钓鱼攻击可让攻击者解锁并窃取特斯拉

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年3月13日14:53:14
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   MiTM 网络钓鱼攻击可让攻击者解锁并窃取特斯拉http://cn-sec.com/archives/2566770.html

发表评论

匿名网友 填写信息