La sicurezza delle automobili Tesla è stata recentemente messa in discussione da Talal Haj Bakry e Tommy Mysk. I due esperti di sicurezza informatica hanno identificato una potenziale minaccia derivante da un attacco di phishing Man–in–the–Middle (MiTM). Questo tipo di attacco, sfruttando una vulnerabilità nella procedura di aggiunta di una nuova Phone Key associata al veicolo, potrebbe consentire a un aggressore di ottenere accesso non autorizzato alle auto Tesla e persino avviarle.
L’attacco, testato con successo sulla versione 4.30.6 dell’app Tesla e sul software di bordo 11.1 2024.2.7, coinvolge la creazione di una rete Wi–Fi falsa chiamata “Tesla Guest“. Questo SSID è spesso utilizzato nei centri assistenza Tesla, il che può ingannare gli utenti facendoli credere che la rete sia legittima. Una volta connessi a questa rete, gli utenti vengono reindirizzati a una pagina di accesso contraffatta che richiede le credenziali dell’account Tesla. Tra questi dati sono compresi anche eventuali codici per l’autenticazione a due fattori.
Attacco phishing mette in pericolo i veicoli Tesla
Utilizzando un dispositivo FlipperZero, i ricercatori sono stati in grado di monitorare le credenziali dell’account e i codici monouso inseriti dalla vittima in tempo reale. Questi, sottolineano che qualsiasi dispositivo in grado di creare una rete Wi–Fi potrebbe essere impiegato per condurre questo tipo di attacco.
Una volta ottenute le credenziali di accesso, l’aggressore può utilizzare l’app ufficiale Tesla per accedere all’account della vittima e geolocalizzare il veicolo. Se l’aggressore si trova nelle vicinanze dell’automobile della vittima, può facilmente aggiungere un nuovo dispositivo come Phone Key abilitata per quel veicolo specifico, senza richiedere l’accesso fisico all’auto o la presenza dello smartphone del legittimo proprietario.
Il problema critico individuato dai ricercatori è che l’aggiunta di una nuova Phone Key non comporta alcuna verifica aggiuntiva o notifica al legittimo proprietario dell’auto. Questo significa che la nuova Phone Key può essere utilizzata per sbloccare le porte e avviare il motore dell’auto senza autorizzazione.
Bakry e Mysk hanno segnalato il problema a Tesla. Non è chiaro se l’azienda abbia intenzione di rilasciare aggiornamenti OTA per affrontare questa vulnerabilità e introdurre ulteriori misure di sicurezza. Considerando però la gravità del problema e la relativa facilità con cui gli attacchi possono essere condotti, è essenziale che l’azienda prenda provvedimenti per proteggere gli utenti da possibili minacce alla sicurezza dei loro veicoli.