专家演示利用169美元工具，盗走价值4万美元特斯拉汽车

IT之家 3 月 8 日消息，安全研究人员近日发布报告，利用 Flipper Zero（一种售价 169 美元、颇具争议的黑客工具），可以盗走一辆价值 4 万美元的特斯拉汽车。

Mysk Inc.公司的合伙人汤米・米斯克（Tommy Mysk）和塔拉勒・哈吉・巴克里（Talal Haj Bakry）表示，这种攻击方式非常简单，只需刷一下特斯拉车主的登录信息，打开特斯拉应用程序，就能盗走汽车。

受害者根本不知道自己丢失了价值 4 万美元的汽车，Mysk 说，利用这个漏洞只需要几分钟，为了证明这一切有效，他还在自己的特斯拉汽车上演示如何盗走。

这种攻击方式并非常规意义上的入侵，而是利用社会工程学，欺骗用户交出他们的信息。研究人员使用 Flipper 建立了一个名为“Tesla Guest”（特斯拉将其用于服务中心的访客网络）的 WiFi 网络，然后，Mysk 伪造创建了一个看起来像特斯拉登录页面的网站。

受害者连接到 WiFi 网络，在假冒的特斯拉网站上输入用户名和密码。然后，黑客使用这些凭证登录真实的特斯拉应用程序，从而触发双因素验证码。受害者将代码输入假冒网站，盗贼就能访问他们的账户。

攻击者登录特斯拉应用程序后，可以设置“手机钥匙”，通过智能手机蓝牙解锁和控制汽车。从此，汽车就是你的了。

IT之家附上演示视频如下：