Все технологические новинки интересны разработчикам и обычным пользователям, но и преступникам, в частности хакерам. А уязвимость в программном обеспечении для автомобилей, замков и термостатов только манят их к себе. Популярный автомобиль Tesla, при всей его новейшей комплектации, тоже уязвим. В этой статье мы расскажем, что может привести к взлому автомобиля и укажем на его слабые стороны, над которым конструкторам стоит еще поработать.
Слабые пароли
Купив авто, хозяин полностью взаимодействует с ним с помощью приложения для iPhone. Один из важных пунктов приобретения автомобиля, стоит пункт о регистрации на сайте — teslamotors, созданный аккаунт потом используется для входа в приложение. Если предположить, что многие пользователи с паролем особо не заморачиваются, то взломать аккаунт вполне реально, и вполне реально, что найдутся те, кто захочет его взломать.
На сайте Tesla отсутствуют ограничения на количество попыток войти в аккаунт. Исходя из этого, понятно, что хакеры легко могут подобрать пароль, использовав Брутфорс-атаки. Очень популярны также Фишинг-атаки. Украсть пароль с помощью фишинга, совсем не сложно. После получения данных, можно, к примеру, узнать о местонахождении авто, привязанного к аккаунту, и открыть его. Популярны и атаки вредоносного софта.
Естественно, что техподдержка Tesla обладает удаленным доступом ко всем аккаунтам на сайте и авто, поэтому аферист может просто обмануть работников компании и выдать себя за владельца авто и аккаунта забывшего пароль.
Не мнение популярны атаки через электронный ящик. Личный кабинет приложения Tesla привязан к почтовому ящику. Поэтому все у кого есть доступы к почте могут захватить пароль и от аккаунта, а также угнать автомобиль.
Шэринг данных через REST API атака хакеров
Для полного взаимодействия с машиной, приложение использует REST API. Изначально его использование третьими лицами не подразумевалось, но некоторые приложения уже делают это. К примеру, приложение Tesla для Google Glass, благодаря которому можно управлять автомобилем и анализировать его состояние. Чтобы запустить приложение, его нужно авторизовать, тем самым открыв доступ к учетным данным сайта Tesla. То есть, логин и пароль пользователя отправляются на teslaglass.appspot и ничто не запрещает другим приложениям запросить те же данные.
Перехват данных
Tesla связывается с приложением благодаря 3G и по WiFi. Эксперты по информационной безопасности приводят такие данные, что когда Model S настроена на работу через WiFi, то загружается исходящее соединение на определенный IP-адрес в сети Tesla по протоколу OpenVPN, получив доступ к которому хакеры могут видеть данные о внутренней сети. Пока не ясно, как именно она налажена и что это даст преступникам, но сам факт настораживает.
Выводы
То что Tesla Model является отличной, суперсовременной машиной, с этим никто даже не спорит, но то что создателям нужно поработать над ее безопасностью – это факт. Обыкновенного пароля, в качестве защиты авто – недостаточно, речь идет уже о физической безопасности людей и всех их вещей, которые могут находиться в автомобиле на момент взлома.
Надеемся, что Элон Маск не станет закрывать глаза на вопросы информационной безопасности.