Tesla, attacco phishing Man-in-the-Middle permette di sbloccare e avviare la vettura

Una potenziale minaccia per i proprietari di automobili Tesla è stata evidenziata da due ricercatori di sicurezza informatica: Talal Haj Bakry e Tommy Mysk hanno dimostrato la possibilità di condurre un attacco di phishing Man-in-the-Middle (MiTM) per compromettere account Tesla, ottenere l'accesso alle auto e poterle addirittura avviare.

L' attacco è stato sperimentato sulla versione 4.30.6 dell'app Tesla 4.30.6 e sul software di bordo 11.1 2024.2.7 e fa leva su una vulnerabilità nella procedura di aggiunta di una nuova Phone Key associata al veicolo.

L'attacco messo a punto dai ricercatori prevede che un malintenzionato crei una rete WiFi chiamata "Tesla Guest": questo nome rappresenta un SSID comunemente utilizzato nei centri assistenza Tesla e che per questo motivo può risultare familiare e affidabile agli occhi degli utenti. Se l'utente preso di mira si connette inconsapevolmente a questa rete, viene reindirizzato a una pagina di accesso contraffatta che richiede le credenziali dell'account Tesla, compreso l'eventuale codice per l'autenticazione a due fattori.

I ricercatori hanno usato un dispositivo FlipperZero per trasmettere la rete WiFi, tramite il quale hanno potuto osservare in tempo reale le credenziali dell'account digitate dalla vittima e il codice monouso. Bakry e Mysk osservano comunque che qualsiasi dispositivo in grado di creare una rete WiFi può potenzialmente essere utilizzato allo stesso scopo.

In questo modo l'aggressore raccoglie le credenziali di accesso e le può usare per accedere all'account della vittima usando l'app Tesla ufficiale, tramite la quale può anche geolocalizzare il veicolo. Se questa azione è compiuta nelle immediate vicinanze dell'automobile della vittima, l'aggressore può facilmente aggiungere un nuovo dispositivo da egli stesso controllato come Phone Key abilitata per quel veicolo specifico. Questo passaggio avviene senza che sia necessario sbloccare fisicamente l'automobile o che lo smartphone del legittimo proprietario sia a bordo del mezzo.

E il problema grave individuato dai ricercatori sta proprio qui: l'aggiunta di una nuova Phone Key non richiede alcuna misura di verifica o autenticazione ulteriore, come ad esempio l'uso della Card Key associata all'auto, e non innesca nemmeno alcuna notifica al legittimo proprietario tramite l'app ufficiale o il touchscreen a bordo della vettura. La nuova Phone Key è funzionante e attivata in modo di fatto illegittimo, e può essere usata per sbloccare le porte del veicolo e avviare il motore.

Bakry e Mysk hanno condiviso con Tesla gli esiti del loro esperimento, ma l'azienda ha ritenuto che quanto riscontrato dai ricercatori non sia una vulnerabilità e anzi rappresentasse un comportamento atteso, sottolineando che il manuale dell'automobile non afferma che sia necessaria la Card Key per aggiungere una Phone Key, nonostante le gravi implicazioni legate alla possibilità di accesso non autorizzato e potenziale furto dei propri veicoli.

A fronte di questa risposta non è chiaro se Tesla intenda rilasciare aggiornamenti OTA per introdurre misure di sicurezza ulteriori allo scopo di prevenire attacchi simili che, come abbiamo visto, sono relativamente semplici da condurre.