I ricercatori di sicurezza Talal Haj Bakry e Tommy Mysk hanno scoperto una potenziale vulnerabilità nell'ultima app di Tesla, la versione 4.30.6, e nella versione software 11.1 2024.2.7. I ricercatori hanno eseguito con successo un attacco di phishing Man-in-the-Middle (MiTM), sollevando preoccupazioni sulla sicurezza degli account Tesla e sul potenziale accesso non autorizzato ai veicoli.
L'attacco di phishing dimostrato dai ricercatori prevede la creazione di una falsa rete WiFi, denominata "Tesla Guest", un SSID familiare che si trova nei centri di assistenza Tesla. Inducendo gli utenti Tesla a connettersi a questa rete, gli aggressori ottengono l'accesso alle credenziali degli account ufficiali attraverso una falsa pagina di login Tesla. Questo metodo, inizialmente eseguito con un Flipper Zero, evidenzia la facilità con cui un attacco di phishing può essere portato a termine utilizzando anche dispositivi comuni come computer, Raspberry Pi o smartphone Android.
Una volta che la vittima inserisce le credenziali del proprio account Tesla, compresa una password unica per l'autenticazione a due fattori, l'aggressore ottiene l'accesso in tempo reale a queste informazioni. Successivamente, l'attore della minaccia può accedere all'app Tesla, tracciare la posizione del veicolo e, cosa più allarmante, aggiungere una nuova "Phone Key" all'account compromesso.
La possibilità di aggiungere una nuova chiave senza che l'auto sia sbloccata o che lo smartphone sia all'interno del veicolo rappresenta una significativa lacuna nella sicurezza. Ciò consente agli aggressori di sbloccare l'auto, attivare i sistemi e potenzialmente allontanarsi senza essere scoperti, poiché il proprietario della Tesla non riceve alcuna notifica dell'aggiunta di una nuova chiave telefonica.
I ricercatori propongono una soluzione potenziale richiedendo una Tesla Card Key fisica quando si aggiunge una nuova Phone Key, introducendo un ulteriore livello di autenticazione per una maggiore sicurezza. Tuttavia, la risposta di Tesla suggerisce che l'attuale comportamento è in linea con il progetto previsto, come indicato nel manuale d'uso della Model 3.
Mentre le preoccupazioni sulla sicurezza degli account Tesla aumentano, gli utenti attendono chiarimenti dall'azienda e potenziali misure per risolvere queste vulnerabilità.