Tesla a rischio furto con l’App Phone Key, come proteggersi
In gioco c'è una falla del sistema di protezione, la rete WiFi "Tesla Guest" ed una disattenzione fatale dell'utente proprietario del veicolo. Due ricercatori hanno dimostrato com'è semplice rubare le Tesla ricreando una nuova Phone Key associata al veicolo.
La tecnologia, croce e delizia delle auto di ultima generazione. Stiamo parlando di un’arma a doppio taglio, a volte un vero vantaggio, altre invece, un pericoloso rischio per furti d’auto. Lo sanno bene i due ricercatori che hanno dimostrato come può essere facile e veloce riuscire a rubare una Tesla ricreando una copia della Phone Key. Il sistema si basa sul metodo “man in the middle”, conosciuto anche con l’acronimo “MiTM”, e rischia seriamente di diventare un incubo per gli automobilisti; anche se Elon Musk non sembra esserne preoccupato, e predica calma.
Come rubare una Tesla con l’App Phone Key
A rivelare questa falla nel sistema di Tesla è stata una coppia di ricercatori specializzata nei sistemi di sicurezza informatica formata da Talal Haj Bakry e Tommy Mysk. I due studiosi hanno dimostrato in modo chiaro come rubare una Tesla attraverso un attacco cosiddetto phishing MiTM utilizzando una rete WiFi per poi ricreare una copia della chiave digitale sullo smartphone, la Phone Key di Tesla. Con la nuova Phone Key si ha libero accesso all’abitacolo della vettura, con la possibilità anche di avviare il motore. E tutto ciò senza la Card Key associata al veicolo; ovvero la “chiave” delle auto Tesla.
Tesla tutti i modelli vulnerabili agli attacchi phishing
Haj Bakry e Mysk, quindi, hanno simulato un attacco informatico con il metodo MiTM su una Tesla dotata di software di bordo 11.1 2024.2.7, utilizzando la versione aggiornata dell’applicazione Tesla 4.30.6. I due ricercatori hanno così dimostrato quanto sia facile riuscire a creare una nuova Phone Key associata al veicolo in questione senza creare alcun sospetto né sul proprietario, né tantomeno sul sistema dell’automobile. Un procedimento che fa così leva su una sorta di breccia nel sistema di protezione dell’auto elettrica, e che, in teoria, permetterebbe a chiunque di prenderne il possesso e, come se non bastasse, anche di avviare il motore senza che siano richiesti gli strumenti necessari per tali operazioni.
Attenzione alla WiFi “Tesla guest”
Dunque, basta creare una nuova rete WiFi, da nominare “Tesla guest“, e il gioco è praticamente fatto. Il nome della rete è fondamentale; questo infatti non salterà all’occhio, e probabilmente non verrà inteso come un allarme, in quanto si tratta di una denominazione molto comune tra i SSID utilizzati dai centri di assistenza Tesla. Quindi, una volta trovata la vittima e creata la rete, basterà attendere che il malcapitato automobilista si colleghi alla nuova WiFi.
In seguito la vittima verrà reindirizzata a una nuova pagina di accesso, falsa ovviamente, dove le verrà chiesto di reinserire i suoi codici di accesso Tesla, incluso il fondamentale codice per l’autenticazione a due fattori. Infine, i codici del possessore della Tesla vengono rubati e utilizzati per accedere al suo profilo nell’applicazione ufficiale dell’azienda automobilistica statunitense, attraverso la quale è possibile controllare alcune funzioni del veicolo.
App Phone Key Tesla
La “Phone Key” di Tesla è una funzione che consente ai proprietari di veicoli Tesla di utilizzare il proprio smartphone come chiave per sbloccare e avviare il veicolo. Questo elimina la necessità di usare una chiave fisica tradizionale. Basta ricreare una nuova Phone Key per aprire e portare via l’auto. Il ladro a questo punto è in grado di aggiungere allo stesso profilo un altro dispositivo in suo controllo, e soprattutto in suo possesso, e creare così una nuova Phone Key collegata alla Tesla in questione, prendendone il comando.
In poche parole, per la creazione di una nuova Phone Key non sono previste alcune verifiche di sicurezza o autenticazioni di alcun tipo. E inoltre, questa non produce nessuna notifica da inviare al dispositivo originale attraverso l’app Tesla, né tantomeno sullo schermo della plancia dell’auto.
Come proteggersi?
Come proteggersi ed evitare di farsi rubare la Tesla? Semplicemente, basta fare attenzione a non inserire dati di accesso a reti WiFi sconosciute o “guest”.
Problema Tesla (serio), ma Elon Musk non vuole ascoltare…
Guai a prendere sottogamba questo problema, e non tanto perché i furti d’auto attraverso metodi tecnologici stanno aumentando (si veda l’utilizzo dei cosiddetti code grabber che stanno “spopolando” in Italia). Ma più che altro perché i due ricercatori Talal Haj Bakry e Tommy Mysk hanno trovato una vera e propria falla nel sistema Tesla. Infine, Haj Bakry e Mysk hanno mostrato alla Casa madre il loro esperimento con il metodo del cosiddetto MiTM mettendo alla luce le gravi problematiche del sistema. Ma secondo Tesla, quanto accertato dallo studio effettuato dalla coppia di ricercatori non è considerabile una reale debolezza, quanto piuttosto un comportamento atteso.
