Un dispositivo come il Flipper Zero potrebbe consentire a cybercriminali di sottrarre veicoli Tesla? Scopriamo questa sinistra possibilità.
La cybersecurity dei veicoli elettrici è sotto osservazione dopo la rivelazione che stazioni di ricarica potrebbero trasformarsi in portali per l’esecuzione di attacchi informatici. In particolare, si è scoperto che per gli avventati pirati digitali può risultare sorprendentemente semplice eseguire un attacco di phishing tramite le stazioni di ricarica della nota marca di auto Tesla.
È emerso che utilizzando un apparecchio noto come Flipper Zero, e potenzialmente altri dispositivi come il Raspberry Pi, un malintenzionato ha la possibilità di istituire una rete WiFi falsa che simulando il nome di una rete ufficiale, ad esempio “Tesla Guest”, attrarrebbe gli ignari proprietari di Tesla. Il ricondurre alla familiarità del nome, spesso trovato nei centri assistenza, gioca un ruolo chiave nell’inganno.
L’inganno si aggrava quando il proprietario del veicolo si collega a tale rete fasulla e viene reindirizzato verso una pagina web trappola che sollecita immissione delle credenziali del proprio account Tesla. In questa fase, tutti i dati inseriti vengono catturati dall’assalitore in tempo reale, senza che la vittima si accorga dell’intercettazione.
Il procedimento malizioso non si ferma: una volta in possesso delle credenziali dell’account Tesla, l’attaccante sollecita l’invio di una password monouso, presentando così un altro stratagemma per bypassare l’autenticazione a due fattori, tipicamente una difesa affidabile. Il traguardo finale per l’hacker è l’aggiunta di una nuova “Chiave telefono” all’account Tesla, permettendogli quindi di sbloccare il veicolo e persino di guidarlo via.
Secondo gli esperti, il nodo cruciale della questione è l’assenza di un livello di autenticazione aggiuntiva per l’aggiunta di nuove chiavi digitali tramite l’applicazione Tesla. Ciò significa che senza verifiche aggiuntive, come l’uso di una chiave fisica, i criminali informatici possono prendere il controllo completo del veicolo con una semplicità disarmante.
Nonostante il problema sia stato comunicato a Tesla, la risposta dell’azienda non appare rassicurante. Tesla sostiene infatti che il comportamento osservato è conforme alle loro policy e che non si rende necessario l’uso di una chiave fisica per l’aggiunta di una nuova chiave digitale, nonostante le chiare implicazioni sulla sicurezza dei veicoli e dei loro possessori.
Di fronte a questa scoperta, i proprietari dei veicoli Tesla devono far fronte alla realtà che la protezione dei propri veicoli implica anche una maggiore consapevolezza nell’uso di reti WiFi, particolarmente in luoghi come le stazioni di ricarica. L’attenzione e la prudenza dovrebbero essere alleati indispensabili nella difesa delle proprie credenziali e nella garanzia della sicurezza delle proprie auto.
Riferendosi all’articolo “Un hacker può rubare auto Tesla tramite una stazione di ricarica? La risposta è si con un Flipper Zero” di Red Hot Cyber, si evidenzia la serietà del fenomeno e l’importanza di una continua valutazione delle misure di sicurezza adottate dai produttori di veicoli al fine di tutelare i consumatori da possibili frodi informatiche.