Autólopás okostelefonnal
Norvég biztonsági kutatók kidolgoztak egy olyan módszert, amivel feltörhetők és ellophatók a Tesla gépkocsik.

 

A Biztonságportál cikke szerint az egyre több elektronikai és informatikai képességekkel felvértezett gépkocsik, nem beszélve az okosautókról, mind vonzóbb kutatási területté válnak a biztonsági szakemberek körében. Ez persze nem véletlen, hiszen az autók fejlődésével egyre több támadási felület nyílik. Már számtalanszor bizonyosodott be, hogy minél több fejlett, automatizált technológiával rendelkezik egy gépkocsi, annál több lehetőséget ad a hackerek kezébe ahhoz, hogy a járműveket manipulálják, rosszabb esetben komoly veszélyhelyzetet idézzenek elő.

A biztonsági kutatások a Tesla autóira is kiterjednek. Amennyiben mindez etikus módon történik, akkor annak maga a Tesla is örül oly annyira, hogy korábban már jutalmazási programot is indított. Ennek keretében alapesetben 10 ezer dollárral jutalmazza azokat a fehérkalapos hackereket, akik első kézből számolnak be az autókat, illetve az azokhoz kapcsolódó webes és mobil alkalmazásokat érintő sebezhetőségekről. A norvég Promon cég szakemberei is úgy döntöttek, hogy a Teslára irányítják a figyelmüket, és egy tanulságos hackelési módszert állítottak össze, amivel a járművek ellophatók. 

A mostani Tesla hackelés kapcsán meg kell említeni, hogy az célzott támadások során juthat szerephez, és a működőképességének számos előfeltétele van. Leginkább hathatós felhasználói közreműködés is szükséges ahhoz, hogy a hackerek sikerrel járjanak. A technika első lépése ugyanis nem más, mint social engineering: a támadónak rá kell vennie a felhasználót arra, hogy letöltsön egy kártékony mobil alkalmazást. Nyilván erre sokféle módszer kínálkozik, de a Promon kutatói a WiFi-vel való visszaélésre tették a voksukat.

Drága ebéd

A kiválasztott élethelyzetben a hacker egy gyorsétterem közelében foglal helyet, és egy saját WiFi hálózatot hoz létre, majd várja, hogy arra a potenciális áldozatok felcsatlakozzanak. Ekkor egy captive portálon keresztül egy olyan appot reklámoz, amely szerint az étteremben a Tesla tulajok ingyen ebédelhetnek. Amikor a felhasználó a kecsegtető reklámra kattint, akkor a Google Play áruházba kerül, ahonnan letöltheti a vendéglátóhely meghamisított mobil alkalmazását. Ha ezt feltelepíti, és megadja az engedélyeket, akkor a hackerek előtt szabaddá válik az út az autó eltulajdonításához szükséges adatok ellopásához.

 

 

A Promon kutatói nyilván nem ismertettek minden részletet a támadással kapcsolatban, de annyit elárultak, hogy alapvetően három adatra van szükségük: egy tokenre, egy felhasználónévre és a hozzá tartozó jelszóra. Az (OAuth) token a Tesla mobil alkalmazásához tartozik, és biztosítja, hogy a felhasználónak csak 90 naponta kelljen bejelentkeznie a Tesla szervereire. A gond az, hogy ez a token az androidos készülékeken kódolatlanul, sima szöveges fájlban tárolódik, igaz sandboxolt környezetben.

A kutatók szerint azonban az Android valamelyik biztonsági résének kihasználásával, majd rootolással a token megkaparintható, és a Tesla mobil app manipulálható. Ettől kezdve meghatározhatóvá válhat az autó helyzete. A felhasználónév és jelszó birtokában pedig az ajtó kinyitása sem okoz gondot, és aktiválhatóvá válhat a kulcs nélküli indítás, az autó pedig meglovasítható.

A Promon kutatói jelenleg is együttműködnek a Teslával a kockázatok csökkentése érdekében, de a biztonsági rések után járó 10 ezer dolláros jutalomban nem igazán reménykedhetnek. Ennek oka, hogy a támadásuk során tulajdonképpen nem fedeztek fel új biztonsági rést a Tesla megoldásaiban. Ehelyett általános módszerekkel ügyeskedtek, ami azért is aggasztó, mert más márkákra nézve is kockázatokat vet fel az eset.

"A jelentés és a kutatók videója nem mutat be Tesla-specifikus sebezhetőséget. Amit láttunk az nem más, mint amit sok felhasználó is tud: amennyiben az okostelefont meghackelik, akkor az azon futó alkalmazások többé már nem biztonságosak. A kutatók egy olyan social engineering alapú támadást szemléltettek, amely megtévesztheti az embereket, és kártékony androidos alkalmazások telepítésére veheti rá őket. Majd a készülék és az azon található összes alkalmazás kompromittálhatóvá válhat, beleértve a Tesla appot is. Azt javasoljuk, hogy a felhasználók mindig a legfrissebb mobil operációs rendszert használják" – nyilatkozta a Tesla.

Versenyelőnyt hozhat a digitális IQ
A cégek riasztó arányban vallanak kudarcot abban a tekintetben, hogy nem képesek a digitális technológiai beruházásaikat üzleti eredményekre váltani – mondja Kerekes Antal, a PwC Magyarország technológiához kapcsolódó tanácsadási szolgáltatásokat vezető cégtársa.
Ablak a digitális világra
A Budapesti Vásárközpontban május 9-12. között megrendezett Mach-Tech szakkiállításon a legtöbb kiállító nem csupán eszközkínálatában, hanem standjának arculatában is hangsúlyozta elköteleződését a negyedik ipari forradalom és a digitális jövő iránt.
Most megéri az innovációba fektetni
Vásároljon most egy Solidworks licencet és növelje befektetése értékét egy további ingyenes Solidworks szoftverrel!
Stagnál Magyarország innovációs teljesítménye
Magyarország 2008 óta GDP-jének egyre nagyobb arányát fordította kutatás-fejlesztési és innovációs tevékenységekre, kevés eredménnyel - derült ki az Állami Számvevőszék (ÁSZ) elemzéséből.
Ipari létesítmények hatékony menedzselése
Korábban nehéz volt integrálni és elemezni az egyes gyártási folyamatokra vonatkozó adatokat az olyan termelési tevékenységek során, ahol automatikusan, megszakítás nélkül zajlik a termelés.