IT之家 3 月 8 日消息,安全研究人员近日发布报告,利用 Flipper Zero(一种售价 169 美元、颇具争议的黑客工具),可以盗走一辆价值 4 万美元的特斯拉汽车。
Mysk Inc.公司的合伙人汤米・米斯克(Tommy Mysk)和塔拉勒・哈吉・巴克里(Talal Haj Bakry)表示,这种攻击方式非常简单,只需刷一下特斯拉车主的登录信息,打开特斯拉应用程序,就能盗走汽车。
受害者根本不知道自己丢失了价值 4 万美元的汽车,Mysk 说,利用这个漏洞只需要几分钟,为了证明这一切有效,他还在自己的特斯拉汽车上演示如何盗走。
这种攻击方式并非常规意义上的入侵,而是利用社会工程学,欺骗用户交出他们的信息。研究人员使用 Flipper 建立了一个名为“Tesla Guest”(特斯拉将其用于服务中心的访客网络)的 WiFi 网络,然后,Mysk 伪造创建了一个看起来像特斯拉登录页面的网站。
受害者连接到 WiFi 网络,在假冒的特斯拉网站上输入用户名和密码。然后,黑客使用这些凭证登录真实的特斯拉应用程序,从而触发双因素验证码。受害者将代码输入假冒网站,盗贼就能访问他们的账户。
攻击者登录特斯拉应用程序后,可以设置“手机钥匙”,通过智能手机蓝牙解锁和控制汽车。从此,汽车就是你的了。
IT之家附上演示视频如下:
领取专属 10元无门槛券
私享最新 技术干货