Nie, Flipper Zero nie jest narzędziem wielofunkcyjnym do kradzieży Tesli

według Coś, co przypomina połowę Internetu, Flipper Zero On Złe narzędzie To umożliwia Podła magia znany jako „piratOstatnio krążą artykuły twierdzące, że Flipper Umożliwia hakerom kradzież Tesli Tuż pod ich nosem Dobrzy, pracowici amerykańscy właściciele – Przestępstwo, które z pewnością zasługuje na sądzenie w Hadze.

Tyle że to nie do końca prawda. Chociaż „hack” jest prawdziwy – choć nie w taki sposób, w jaki myślisz – Flipper nie ponosi winy za tę sytuację. Nie tylko tak naprawdę nie pomaga to złośliwym aktorom, ale znacznie utrudnia im życie, niż robienie tego samego na laptopie.

Część pierwsza: Atak

Najpierw porozmawiajmy o samym ataku. Może to powiedzieć każdy początkujący specjalista ds. bezpieczeństwa komputerowego — tak jak ja kiedyś Najsłabszą częścią każdego systemu komputerowego jest worek, który go używaNajmądrzejsze ataki wykorzystują tę słabość zamiast dowolnego rodzaju kodu. Atak Tesli jest jednym z takich ataków i nazywa się atakiem phishingowym.

Atak phishingowy to atak, podczas którego osoba atakująca prosi użytkownika o informacje, udając osobę, która zasługuje na odpowiedź. Jeśli otrzymasz wiadomość e-mail z ostrzeżeniem o podejrzanej aktywności na Twoim koncie Gmail, ale następnie przekieruje Cię ona na fałszywą stronę logowania z nadzieją, że podasz swoją prawdziwą nazwę użytkownika i hasło, jest to phishing.

W tym konkretnym ataku szkodliwi aktorzy siedzą na stronie internetowej Tesla Supercharger i otwierają publiczną sieć Wi-Fi o nazwie „Tesla Guest”. Gdy właściciel Tesli łączy się, zostaje przekierowany na stronę logowania z prośbą o podanie nazwy użytkownika i hasła do aplikacji Tesla. Po wejściu fałszywa sieć żąda dwuskładnikowego kodu uwierzytelniającego, a wszystkie trzy informacje są przekazywane atakującemu.

Osoba atakująca musi następnie wprowadzić dane logowania tego użytkownika do oryginalnej aplikacji Tesla, zanim dwuskładnikowy kod dostępu wygaśnie, umożliwiając dostęp do konta właściciela Tesli – i wszystkich jego funkcji połączonych z samochodem. Funkcje te obejmują używanie telefonu — takiego jak ten, na którym właśnie zalogował się atakujący — jako klucza, który teoretycznie mógłby zostać użyty do odblokowania Tesli i odjechania. Proste jak ciasto, jeśli nie może pozostać w piekarniku dłużej niż 30 sekund, zanim się spali i stanie się chrupiące.

Część druga: Zero Fin

W wersji demonstracyjnej atak ten jest przeprowadzany przy użyciu Flipper Zero w celu stworzenia fałszywej sieci Wi-Fi. Tę funkcję posiada Flipper, ponieważ może stworzyć sieć Wi-Fi bez za nią żadnego połączenia internetowego, ale to samo dotyczy wielu urządzeń bezprzewodowych.

Raspberry Pi, laptopy, telefony komórkowe, kamery GoPro, głośniki kina domowego w salonie, wszystkie te urządzenia mogą stworzyć sieć WiFi. Co prawda wiele z nich nie zapewnia dużej kontroli nad tą siecią – chociaż jestem pewien, że istnieją programy dedykowane do hackowania GoPro lub soundbara – ale jest ich sporo Do. Laptop może wykonać to zadanie równie łatwo, jak każdy Flipper.

W rzeczywistości jest to jeszcze łatwiejsze, jeśli weźmie się pod uwagę, że laptopy mają fabrycznie wbudowane WiFi. Płetwy, pomimo wszystkich środków komunikacji, nie – a Płytka rozwojowa WiFiwraz z niezbędną anteną, należy zakupić osobno i dodać, zanim urządzenie będzie mogło faktycznie wykonać cokolwiek pokazane w wersji demonstracyjnej.

Część trzecia: To i tak nie ma znaczenia

I znowu to słowo, eksperymentalny. Podobnie jak wiele niedawno opublikowanych luk, ten atak ma charakter teoretyczny — nastąpił w kontrolowanych warunkach przez osobę, która stała po obu stronach ataku, a nie w poszukiwaniu nieoczekiwanych ofiar. Jeśli atak ma miejsce tylko w filmie YouTube pokazującym jego skuteczność, czy w ogóle ma miejsce?

Badacze, którzy odkryli lukę, Misk, opublikowali ją, aby zwrócić uwagę Tesli. Oni Szare kapelusze — Jasne, opublikowali lukę w zabezpieczeniach, ale celem było poinformowanie Tesli o tym Naprawa On ona. W szczególności chcą silniejszych zabezpieczeń w aplikacji Tesla, aby uniemożliwić złośliwym podmiotom łatwe tworzenie nowych kluczy do telefonu bez wiedzy właściciela samochodu.

Ten „hack” nie jest hackiem, nie w sensie, w jakim większość ludzi o tym myśli. To nie ktoś, kto nosi płaszcz i okulary przeciwsłoneczne w ciemnym pokoju i wpisuje zielony tekst na czarnym terminalu, aby uzyskać dostęp do komputera typu mainframe i… Zbrodnie. To inżynieria społeczna – Pan Eddie Vedder z księgowości dzwoni do Norm in Security po skoku napięcia, aby poprosić o numer telefonu na modemie w celu dokończenia tego projektu. Teoretycznie jest to możliwe, ale jest mało prawdopodobne, aby poszło dobrze Tylko w ten sposób Aby atak się powiódł – a jeśli tak się stanie, prawie na pewno nie jest to wina Flippera Zero.