Investigadores han descubierto que piratas informáticos podrían secuestrar fácilmente las redes WiFi en las estaciones de carga de Tesla para robar vehículos, una flagrante vulnerabilidad de ciberseguridad que solo requiere una herramienta asequible y lista para usar.
Como demostraron los investigadores de seguridad de Mysk Inc., Tommy Mysk y Talal Haj Bakry, los piratas informáticos solo necesitan una sencilla herramienta de piratería de 169 dólares llamada Flipper Zero, una Raspberry Pi o una computadora portátil para lograrlo.
“Esto significa que con un correo electrónico y una contraseña filtrados, un propietario podría perder su vehículo Tesla“, dijo Mysk.
“Los ataques de phishing y de ingeniería social son muy comunes hoy en día, especialmente con el auge de las tecnologías de inteligencia artificial, y las empresas responsables deben tener en cuenta esos riesgos en sus modelos de amenazas”.
Y no se trata sólo de Tesla. Los investigadores de ciberseguridad llevan mucho tiempo haciendo sonar las alarmas sobre el uso de la entrada sin llave en la industria automovilística, que deja a los vehículos modernos en riesgo de ser robados.
Así es como funciona el truco. Usando su arma preferida, los piratas informáticos crean una red WiFi falsa llamada “Tesla Guest” que se hace pasar por la red real.
Si una víctima intentara acceder a la red, que el fabricante de vehículos eléctricos normalmente proporciona de forma gratuita a los clientes que esperan, podría ser engañada para que renuncie a su inicio de sesión ingresándolo en un sitio duplicado.
Esta información de inicio de sesión robada podría usarse para eludir la autenticación de dos factores de Tesla e iniciar sesión en la aplicación del teléfono inteligente Tesla de la víctima, desbloqueando el vehículo sin necesidad de una tarjeta física.
Una vez conectados, los piratas informáticos podrían incluso crear una nueva “clave de teléfono“, lo que les permitiría volver más tarde al vehículo y marcharse con él sin levantar sospechas.
Esto se debe a que Tesla en realidad no notifica al usuario si se crea una nueva clave, como señalan Mysk y Bakry en su video.
Mysk probó la vulnerabilidad en su propio Tesla y descubrió que podía crear fácilmente nuevas claves telefónicas sin tener acceso a la tarjeta de acceso física original.
Esto a pesar de que Tesla prometió que eso no era posible en su manual del propietario.
Una vez que le contó a Tesla sus hallazgos, el fabricante de vehículos eléctricos minimizó la vulnerabilidad y le dijo que todo era por diseño y “comportamiento previsto“, una afirmación que Mysk calificó de “absurda”.
“El diseño para emparejar una llave de teléfono claramente se hace muy fácil a expensas de la seguridad“, dijo.
Mysk sostiene que sería fácil para el fabricante de automóviles solucionar la vulnerabilidad simplemente notificando a los usuarios si se crea una nueva clave de teléfono.
Pero aún está por verse si la empresa cumplirá su palabra.
Fuente: Futurism