- لدى المتسللين طريقة جديدة محتملة لسرقة سيارة Tesla الخاصة بك.
- أنشأ الباحثون شبكة Tesla WiFi مزيفة لسرقة معلومات تسجيل الدخول الخاصة بالمالك وإعداد مفتاح هاتف جديد.
- وقد عثرت الفرق سابقًا على ثغرات اختراق أخرى في سيارات Tesla عالية التقنية.
إذا كنت تمتلك سيارة Tesla، فقد ترغب في توخي الحذر الشديد عند تسجيل الدخول إلى شبكات WiFi في محطات شحن Tesla.
نشر الباحثان الأمنيان تومي ميسك وطلال حاج بكري من شركة ميسك مقطع فيديو على موقع يوتيوب يوم الخميس يشرحان مدى سهولة هروب المتسللين بسيارتك باستخدام خدعة هندسة اجتماعية ذكية.
وإليك كيف يعمل.
توفر العديد من محطات شحن Tesla – والتي يوجد منها أكثر من 50000 محطة في العالم – شبكة WiFi تسمى عادةً “Tesla Guest” والتي يمكن لمالكي Tesla تسجيل الدخول إليها واستخدامها أثناء انتظار شحن سيارتهم، وفقًا لفيديو Mysk.
وباستخدام جهاز يسمى Flipper Zero – وهو أداة اختراق بسيطة تبلغ قيمتها 169 دولارًا – أنشأ الباحثون شبكة WiFi خاصة بهم تسمى “Tesla Guest”. عندما يحاول أحد الضحايا الوصول إلى الشبكة، يتم نقله إلى صفحة تسجيل دخول مزيفة لشركة Tesla أنشأها المتسللون، الذين يقومون بعد ذلك بسرقة اسم المستخدم وكلمة المرور ورمز المصادقة الثنائي مباشرة من الموقع المكرر.
على الرغم من أن Mysk استخدمت Flipper Zero لإعداد شبكة WiFi الخاصة بها، إلا أنه يمكن أيضًا تنفيذ هذه الخطوة من العملية باستخدام أي جهاز لاسلكي تقريبًا، مثل Raspberry Pi أو الكمبيوتر المحمول أو الهاتف الخلوي، حسبما قال Mysk في الفيديو.
بمجرد أن يسرق المتسللون بيانات الاعتماد الخاصة بحساب المالك في Tesla، يمكنهم استخدامها لتسجيل الدخول إلى تطبيق Tesla الحقيقي، لكن يتعين عليهم القيام بذلك بسرعة قبل انتهاء صلاحية رمز المصادقة الثنائية، كما يوضح Mysk في الفيديو.
إحدى الميزات الفريدة لمركبات Tesla هي أنه يمكن للمالكين استخدام هواتفهم كمفتاح رقمي لفتح سيارتهم دون الحاجة إلى بطاقة مفتاح فعلية.
بمجرد تسجيل الدخول إلى التطبيق باستخدام بيانات اعتماد المالك، قام الباحثون بإعداد مفتاح هاتف جديد مع البقاء على بعد بضعة أقدام من السيارة المتوقفة.
لن يحتاج المتسللون حتى إلى سرقة السيارة في الحال؛ يمكنهم تتبع موقع Tesla من التطبيق وسرقتها لاحقًا.
قال ميسك إن مالك Tesla المطمئن لا يتم إخطاره حتى عند إعداد مفتاح هاتف جديد. وعلى الرغم من أن دليل مالك Tesla Model 3 ينص على أن البطاقة الفعلية مطلوبة لإعداد مفتاح هاتف جديد، إلا أن Mysk وجدت أن الأمر ليس كذلك، وفقًا للفيديو.
وقال تومي ميسك لـ Gizmodo: “هذا يعني أنه مع تسرب البريد الإلكتروني وكلمة المرور، قد يفقد المالك سيارة تيسلا الخاصة به. هذا جنون”. “أصبحت هجمات التصيد الاحتيالي والهندسة الاجتماعية شائعة جدًا اليوم، خاصة مع ظهور تقنيات الذكاء الاصطناعي، ويجب على الشركات المسؤولة أن تأخذ في الاعتبار مثل هذه المخاطر في نماذج التهديدات الخاصة بها.”
وقالت ميسك في الفيديو، عندما أبلغت شركة ميسك بالمشكلة إلى شركة تيسلا، ردت الشركة بأنها حققت في الأمر وقررت أنها ليست مشكلة.
لم تستجب شركة Tesla لطلب Business Insider للتعليق.
وقال تومي ميسك إنه اختبر الطريقة على سيارته الخاصة عدة مرات، بل إنه استخدم جهاز iPhone الذي لم يتم إقرانه من قبل بالمركبة من قبل، حسبما ذكر Gizmodo. ادعى ميسك أنه نجح في كل مرة.
قال ميسك أنهم أجروا التجربة لأغراض البحث فقط وقالوا لا ينبغي لأحد أن يسرق السيارات (نحن موافقون).
وفي نهاية الفيديو، قال Mysk إنه يمكن حل المشكلة إذا جعلت Tesla مصادقة بطاقة المفتاح الفعلية إلزامية وأبلغت المالكين عند إنشاء مفتاح هاتف جديد.
ليست هذه هي المرة الأولى التي يجد فيها الباحثون الأذكياء طرقًا بسيطة نسبيًا لاختراق سيارات تيسلا.
في عام 2022، قال شاب يبلغ من العمر 19 عامًا إنه اخترق 25 سيارة تيسلا حول العالم (على الرغم من إصلاح الثغرة الأمنية المحددة منذ ذلك الحين)؛ وفي وقت لاحق من ذلك العام، وجدت شركة أمنية طريقة أخرى لاختراق سيارات تيسلا من على بعد مئات الأميال.