Las llaves digitales se han convertido en una forma común y conveniente de desbloquear vehículos eléctricos (EV), pero los investigadores de seguridad han demostrado cómo los delincuentes pueden aprovechar esto. Los investigadores de ciberseguridad Tommy Mysk y Talal Haj Bakry, que trabajan para la empresa de tecnología Mysk, descubrieron un exploit que permite a los ciberdelincuentes acceder a cuentas de Tesla para generar una “llave digital” antes de desbloquear el automóvil de la víctima y alejarse. Detallaron sus hallazgos en una presentación de YouTube el 7 de marzo.
Lograron el truco (desbloquear la puerta de un Tesla Model 3) a pesar de que la cuenta estaba protegida por autenticación de dos factores (2FA). Esta es una capa adicional de protección que solicita un código antes de iniciar sesión, lo cual omitieron. Simplemente necesitaban un pequeño dispositivo Flipper Zero y una placa de desarrollo Wi-Fi, los cuales se pueden comprar en línea.
El dispositivo Flipper Zero, que cuesta sólo 169 dólares, es similar a una “navaja suiza” para los investigadores de seguridad. Les permite leer, copiar y emular etiquetas de radiofrecuencia y comunicación de campo cercano (NFC), controles remotos de radio, claves de acceso digitales y otras señales. Es legal en Estados Unidos, aunque Canadá acaba de presentar medidas para prohibirlo. Los investigadores utilizaron un Flipper Zero junto con la placa de desarrollo de Wi-Fi para generar y transmitir una página de inicio de sesión de Tesla falsa, antes de engañar a la víctima para que compartiera sus credenciales de inicio de sesión.
¿Cómo funciona el truco?
Los investigadores llevaron a cabo esta explotación a través de una red Wi-Fi pública llamada “Tesla Guest”, similar a las que se utilizan en los centros de servicio de Tesla. Difundieron una versión falsa de esta red a través del Flipper Zero, es decir, si alguien hiciera clic en el cautivo Para acceder a Wi-Fi, aparecería una pantalla de inicio de sesión de Tesla falsa. La transmisión de esta red Wi-Fi falsa en lugares comúnmente visitados por los conductores de Tesla, como los Tesla SuperChargers, permitiría a los ciberdelincuentes robar los detalles de inicio de sesión de las cuentas de Tesla.
Si el exploit se da en el mundo real, un pirata informático sólo tendría que esperar a que un conductor de Tesla desprevenido se conecte a la red Wi-Fi falsa y escriba sus datos de inicio de sesión en el portal de inicio de sesión falso. Las credenciales del usuario, incluida su dirección de correo electrónico, contraseña y código 2FA, aparecerían en la pantalla del Flipper Zero. Luego, después de obtener esta información, el hacker puede iniciar la aplicación Tesla y acceder a la cuenta de la víctima.
La aplicación proporciona una ubicación en vivo del automóvil sin que el pirata informático tenga que activar de antemano su llave digital, que está en su teléfono. Al activar la llave cerca del coche de la víctima, el hacker puede controlarlo de forma remota. Lo alarmante es que puedes hacer esto sin estar en el auto: solo necesitas habilitar Bluetooth y activar la configuración de ubicación. Debido a que no aparecen alertas en la aplicación del usuario o en la pantalla táctil integrada de su automóvil para informar que se ha agregado un nuevo dispositivo a su cuenta, no sabrán que alguien ha comprometido su cuenta y está tratando de controlar su automóvil.
Al demostrar este exploit, el investigador abrió con éxito la puerta de un Tesla Model 3 y mostró cómo agregar la llave digital sin que apareciera una notificación en la pantalla táctil. Pudieron arrancar el coche y alejarse.
Los investigadores se sorprendieron al saber que se necesita una tarjeta de acceso física (que se les proporciona a todos los conductores de Tesla) para autenticar la extracción de una llave digital, y que se envía una notificación automática al propietario del automóvil después de que se retira la llave. Esto a pesar de que no se envía dicha notificación cuando se agrega una nueva clave.
¿Qué significa para la seguridad de los vehículos eléctricos?
A pesar de que el manual del propietario de Tesla indica que la tarjeta de acceso física es necesaria para agregar y quitar llaves digitales, los investigadores demostraron que este es solo el caso para quitar llaves digitales, no para agregarlas. El equipo de Mysk informó sus hallazgos a Tesla Product Security, que respondió llamando a esto “comportamiento previsto”.
“Mostramos cómo la ingeniería social y el phishing pueden ser eficaces”, escribieron los investigadores en su presentación. “Incluso venció la autenticación multifactor”.
Los investigadores de seguridad creen que la autenticación con tarjeta de clave debería ser obligatoria y que los propietarios de Tesla deberían recibir notificaciones si se agrega una nueva clave a su cuenta.
Jake Moore, asesor de seguridad global de la empresa de seguridad cibernética ESET, dijo a Live Science que los dispositivos de fácil acceso como Flipper Zero “pueden hacer mucho para ayudar a los actores de amenazas en actividades maliciosas”.
“Al actuar como una herramienta más en el conjunto de herramientas del hacker, junto con otras técnicas de ingeniería social, estos dispositivos añaden una nueva dimensión que las víctimas deben tener en cuenta”, explicó.
“Con un sinfín de dispositivos inteligentes en el mercado y tecnología inalámbrica integrada en dispositivos que nunca antes justificaron su uso, debemos estar en guardia más que nunca”.
Fuente: Live Science.
