Hackers mostram como é simples roubar um Tesla
Cada vez mais os nossos dispositivos estão expostos a ataques e a roubo de dados. Constantemente ligados à Internet, estão vulneráveis a hackers e a falhas que são descobertas.
Os carros, também eles cada vez mais ligados à Internet, são as mais recentes vítimas destes ataques. Depois de vários ataques conhecidos, chega agora a vez dos Tesla estarem também vulneráveis e mostrarem como são simples de roubar, graças a uma falha das app móveis.
São vários os ataques já bem conhecidos a carros ligados à Internet, que os tornam vulneráveis a roubo de dados dos utilizadores e até dos próprios carros. São falhas tipicamente localizadas nas apps que os controlam ou dos serviços que lhes dão suporte, algo que não deveria acontecer.
Mas a mais recente vítima destas falhas é agora a Tesla, que graças a uma falha nas suas apps móveis, que permite controlar totalmente o carro, deixa que estes possam depois ser controlados pelo atacante. A falha foi descoberta e detalhada pela Promon, que a mostrou num vídeo.
O truque é simples e recorre à criação de uma rede sem fios para enganar os donos dos Tesla que, com a promessa de um prémio, são levados a instalar uma simples aplicação. Depois de instalada, a aplicação infecta o smartphone do utilizador e na próxima vez que este usar a aplicação vai roubar os dados de acesso e transmitir para o atacante.
Uma vez na posse dos dados de acesso ao carro, o atacante precisa apenas de se aproximar do carro e usar os dados de acesso roubados para abrir o carro e até colocá-lo a trabalhar, permitindo o roubo.
Esta não é uma forma directa e simples de roubar os dados, obrigando a engenharia social, mas não deixa de ser possível de ser usada em qualquer situação.
A Tesla está já notificada para este problema e prometeu já corrigir o problema, implementando algumas medidas para proteger os seus utilizadores, quer através de autorizações de dispositivos ou de autenticação com dois factores. Esta é uma falha que mais uma vez mostra a vulnerabilidade a que estes dispositivos estão expostos.
Este artigo tem mais de um ano
Isto aplica-se a qualquer situação. Se fizerem cópia de umas chaves também conseguem abrir portas. Se alguém tiver os códigos é fácil desligar um alarme.
O mais fiável ainda é utilizar autenticação biométrica.
Não é assim tão simples. Nem todos os proprietários de Tesla iriam cair nessa artimanha.
Eu diria mais, de simples não tem nada. Mais uma vez a falha é do utilizador é não do sistema.
Não é uma falha, é sim usar a ignorância dos utilizadores, neste caso, todas as apps podem ter autenticação roubada.
Como diz o outro #écarrão!
O título diz que hackers mostram como é simple roubar mas depois a notícia descreve que não é uma forma directa ou simples de o fazer !!!
Parece um título exagerado e prejudicial para a testa bem aí estilo do novo regime… desculpem… governo americano.
Na realidade é mais fácil alguém roubar o meu carro, basta simplesmente tirar a chave do meu bolso !!!
Num iMovel não se é possível instalar a app para roubar os dados ( a menos que esteja com jailbreak) logo estes usuários estão protegidos, ficam assim os mini robôs e 7 usuários das janelas
Destes apenas alguns instalariam a aplicação, logo mais vale os hackers dedicaram-se a usar os dedos noutra forma de roubo
Ou seja o teu carro tem problemas de segurança porque se tiverem a chave conseguem rouba-lo
Tive que fazer mais scroll do que o esperado para ler este comentário.
Acabei de testar. A minha casa também não é segura, alguém estranho tendo as chaves consegue entrar
É um bug, eu reclamei mas a VOLVO já me disse que vai resolver.
Basicamente pediram que lhes entregue a chave, aparamente sou demasiado estupido para que me confiem a segurança da chave de um carro deles.
Se fosse comigo ia para as redes sociais mostrar a minha indignação e frustração e dar uma entrevista na CMTV.
Não é um ataque dirigido ao tesla.
Existe aqui um problema no utilizador. Reparem que em primeiro lugar ligam-se a um wifi público. É ridículo.
Em segundo lugar a App não parece usar TLS e se usar não está a validar o certificado do servidor. Daí é fácil fazer MITM.
A única coisa que acho mau nisto do tesla é o keyless.
“Reparem que em primeiro lugar ligam-se a um wifi público. É ridículo”
Tu nunca, nunca, NUNCA, te ligaste a um wifi publico? Mas mesmo nunca?
nun·ca
advérbio
1. Em tempo nenhum; nenhuma vez.
2. Não.
“nunca”, in Dicionário Priberam da Língua Portuguesa [em linha], 2008-2013, http://www.priberam.pt/DLPO/nunca [consultado em 25-11-2016].
Pois, claro….
não, sem nunca estar com VPN para casa ativa. 😉
Lol VPN…
Saves so memos Como funcionam?
Uma VPN é como um alarme comprado na loja dos chineses… Instalas la fora, até compras um sinal bem bonitinho a dizer “instalações protegidas” e algum tempo depois és assaltado e percebes que afinal o alarme nao era à prova de agua e avariou naquele dia chuvoso…
a notícia indica que a falha é da app móvel da Tesla mas não. é uma falha no SO android que até já foi corrigida.
e não é simples hackear um Tesla, as pessoas é que são estúpidas se andarem a clicar em “promessas de prémios”.
já agora a resposta da Tesla também seria de incluir:
““This demonstration shows what most people intuitively know – if a phone is hacked, the applications on that phone may no longer be secure,” Tesla said in a statement. “The researchers showed that known social engineering techniques could be employed to trick people into installing malware on their Android devices, compromising their entire phone and all apps, which also includes their Tesla app. Tesla recommends users run the latest version of their mobile operating system.”
falha da tesla? onde? os totós instalam uma treta qualquer e depois a culpa é da tesla? conforme lhes roubam os dados de acesso ao carro também podem roubar outras coisas!
Um dono de um Tesla normalmente é uma pessoa informada, esses ataques de engenharia social normalmente não funcionam em pessoas deste genero.
Mas é algo que devem melhorar sem dúvidas o mesmo problema existe com qualquer app no smartphone, faltou talvez informar que a falha talvez era em Dispositivos Android!
titulo: “Hackers mostram como é simples roubar um Tesla”
artigo: “Esta não é uma forma directa e simples de roubar os dados, obrigando a engenharia social, mas não deixa de ser possível de ser usada em qualquer situação.”
decidam-se…
Para um Tesla, mesmo havendo uma forma mais ardilosa de o fazer… para quem sabe é simples. Claro, não estás à espera que seja um comum mortal 😉
Seguindo essa lógica tudo o que já tenha sido feito é fácil de se fazer, porque alguém o sabe como fazer.
dependendo do que se está a falar, sim, mas não podes misturar alhos com bugalhos. Se estamos a falar numa estrutura com a dimensão do sistema da Tesla, não podes comparar com a dimensão de um gadget de consumo banal. Por isso é que há a explicação do nível de acção, para que se perceba o impacto que uma acção dessas poderá ter no futuro. Se ainda estamos no início desta viagem, e já temos este nível de ataques… então sim, é simples roubar um Tesla… mas obviamente que não é para qualquer um 😉
Ó Vitor, desculpa lá mas isso é desculpa de mau pagador em um título claramente inflacionado para o leitor
Simples significa algo fácil ou vulgar.
Por muito saibas como fazer o facto de estares dependente do usuário ligar-se à rede que crias-te já por si complica, lá se foi o fácil, depois ainda tens de esperar que se instale uma aplicação o que com a informação que existe hoje em dia não é vulgar, ops, e lá se foi o vulgar.
Tenho muito respeito pela vossa profissão mas não significa que estejam sempre certos e neste caso o significado de simples foi claramente usado de forma errada, como o próprio artigo indica quando o Pedro o desenvolve “Esta não é uma forma directa e simples” (contradição)
E já agora quando dizes que “mesmo havendo uma forma mais ardilosa de o fazer” podes desenvolver qual é essa forma ?
É que ao que parece está foi a única divulgada até agora !!!
Opiniões… acho que só te estás a esquecer do nível de conhecimento de quem fez isto… sim é simples, tendo em conta o que está em causa. Mas lá está, são opiniões, não mudo a minha porque há outras, apenas respeito essas opiniões diferentes da minha, ainda bem que as há. 😉
Portanto tenho um tesla (na realidade não tenho mas gostaria, vamos apenas imaginar que sim para efeitos académicos) e um iphone, não me ligo a redes desconhecidas (nem mesmo no aeroporto, para isso pago boingo) e não instalo nada que não preciso.
Seria fácil para um hacker roubar o meu tesla imaginário !!! Mesmo com o conhecimento de como é descrito em cima ?
Isto não é uma opinião mas sim um facto. O título foi claramente inflacionado para a notícia que depois é contraditória, isso mesmo é dito pelo o autor.
Opinião é eu achar que ultimamente este tipo de técnicas tem estado a tornar-se pratica do website, até parece que é gerido pelo daily mail, aqui podes não concordar comigo, mas é um óptimo exemplo de uma opinião, pelo menos até haver factos que suportem ou contrariem a minha opinião.
A provabilidade de alguém fazer isso é relativamente reduzida, acredito que quando se tornarem mais vulgares a coisa já seja diferente.
Mas enganem-se ao pensar que todos os outros modelos de outras marcas estao imunes.
É tão fácil ludibriar os utilizadores típicos de redes wifi desprotegidas sem qualquer preocupação. Estou sempre a alertar quem me é próximo que por muito que precisem de utilizar net wifi free de alguns sítios, não usem.
é mais fácil convencer o dono a “emprestar” a chave,carro e isso funciona para qualquer
Concordo, isto de fácil não tem nada.
Como em tudo na vida, se roubares a chave do carro a uma pessoa, também lhe podes roubar o carro. Dantes a chave era um objeto físico tinhas que estar presente para roubar, agora é digital, podes roubar por e-mail/telefone, não é falta de segurança da aplicação ou dos carros, é facilitismo da pessoa.
Acrescentar um mecanismo de 2 fatores pode resolver a maior parte dos casos a curto prazo, mas corresponde a ter que andar com duas chaves…. Ora bem, então arranjamos uma chave digital para simplificar e depois ainda temos mais trabalho (torna o processo mais moroso) do que usando as chaves convencionais? Adoro a “inovação”
Estou mesmo a ver um gajo que tem dinheiro para comprar um Tesla, precisar de se ligar a redes wifi publicas. E ir logo instalar um app para comer um hambruger gratis pois não tem dinheiro para comprar um nem para ter internet no telefone sem ser por redes wifi publicas. Isto apenas mostra que é facil instalar malware em android 😉
Para dizer a verdade muito pessoal compra um Mercedes e depois nao utilizam auricular por kit maos livres por ser muito caro…
Verdade…
Conheço um caso de uma pessoa que comprou um mercedes (importado usado, mas era mercedes!) e depois andou de volta de um colega meu para lhe crackar o sistema de GPS, porque não queria pagar a actualização…
“Só” em Portugal é que ter uma porcaria de um Mercedes ou qualquer outra marca “Premium” é um luxo e sinonimo de ter dinheiro quando na verdade nao é bem assim.
“Só” em Portugal é que se o vizinho tiver um Mercedes e eu nao tiver é que se tem de arranjar defeitos para se tentar fazer parecer superior ou mais sensato.
Mercedes ou seja lá o que for é simplesmente um carro, um monte de chapa que mais dia menos dia vai para a sucata.
O homem nao queria pagar pelo valor de um carro em Portugal, comprou um importado que gostava mais barato?Problema? Pessoalmente nao vejo nenhum.
O homem esteve disposto em gastar, num Mercedes, menos que “tu” no teu “Clio” novo e nacional e nao está para pagar por uma actualizacao do GPS?
Problema?
Pessoalmente nao vejo nenhum…
“Só” em Portugal é que existe esta mentalidade mesquinha do vizinho ter melhor que nós e o gajo já passar a ser um filho d* **** e comprou um Mercedes mas foi importado…
Comprou um Mercedes mas nao teve dinheiro para ir a marca actualizar o GPS…
Enfim…
Estávamos todos à espera do comentário sobre o Android…
Epah já faltava o comentário do gajo que diz “Quem tem dinheiro para…”…
Sabes que o investimento num Tesla em Portugal equivale a mais de 120 salários minimos nacionais, ou seja, mais de 5 anos a trabalhar para pagar um carro sem fazer absolutamente mais nada.
Em outros paises, o investimento nem é assim tao consideravel tanto pelo valor do mesmo como pelos salarios mais altos.
Ter um Tesla ou até mesmo ter uma conta recheada de dinheiro nao quer dizer que nao se aproveite coisas free tais como Wifi ou até mesmo um simples hamburguer.
Não é bem uma falha, e não é assim tão fácil.
Tem de se dar o caso de o utilizador querer usar dada rede wi-fi que lhe vai dizer que para aceder a rede wi-fi é obrigatório instalar uma app, a maioria desiste, quem for desconfiado ou tiver alguns conhecimentos vai pro em duvida porque instalar uma app de fonte desconhecida.
Este processo é quase há uns anos tirar a chave ao condutor sem que este veja, fazer uma cópia e voltar a colocar a chave no lugar onde estava (agora não de porque há chips).
Mais fácil ligar qualquer atual carro recorrendo a computadores e conectando a centralina, aí sim existem falhas graves.
Cumprimentos.
Isto é phishing ao Tesla. A culpa será só do utilizador ignorante.
nenhum sistema e impenetravel… quando este tem de confiar no utilizador
E porque não usar um reboque e culpar a Tesla?
Pelo título pensei que fosse uma falha de segurança da tesla e não um simples ataque de phishing.
eu recebi um email para instalar a app do príncipe da Nigéria no meu tesla. claro que não aceitei, apesar de eles me prometerem largas quantias de dinheiro e até favores.
É possível fazer sistemas ultra-seguros, mesmo a contar com a estupidez dos humanos… por exemplo basta não disponibilizar aplicações para smartphones que são obviamente inseguros desde o início e não mostram qualquer sinal de estarem a melhorar (as aplicações deveriam correr isoladas sem forma de comunicarem directamente umas com as outras, precisamente para não andarem a furtar dados a outras).
Uma questão mais importante é saber o que acham as pessoas, nomeadamente as que têm carrões muito caros, de os fabricantes e eventualmente hackers/ estado conseguirem saber tudo sobre onde andam só pelos sistemas de diagnósticos dos automóveis que estão constantemente a enviar dados de localização… e não me admirava que tenham também acesso a microfones e eventuais câmaras.
É que muitas destas pessoas prezam a sua privacidade, e até fazem muitos negócios dentro dos automóveis, será que gostam mesmo que até o fabricante do automóvel saiba da sua vida e até o posso espiar se lhes apetecer? Claro que vão dizer que não fazem isso, mas o que os impede?
falha 100000% do utilizador…
eles nao quebraram a segurança do carro em si.. “apenas” enganaram o dono do carro
Já agora…
Depois de roubado não é um Tesla! É um Edison!
:p Já está tudo dito… Parte culpa da app e GRANDE parte culpa do utilizador.
Esta notícia cai um pouco no ridículo. Este método já existe há anos e não é só para teslas… A tesla não tem uma falha específica.