🎃 ¡Rebajas de Halloween! ¡Office 2021 para siempre por sólo 29,11€/PC! [ Saber más ]
Si eres dueño de un Tesla, es posible que desees tener especial cuidado al conectarte a las redes WiFi en las estaciones de carga de Tesla.
Dos investigadores de seguridad publicaron un video en YouTube explicando lo fácil que puede ser llevarse tu coche utilizando un truco de ingeniería social.
Muchas estaciones de carga de Tesla, de las cuales hay más de 50.000 en todo el mundo, ofrecen una red WiFi gratuita «Tesla Guest» a la cual los propietarios de Tesla pueden acceder y utilizar mientras esperan a que su automóvil se cargue, según el video de Mysk.
Utilizando un dispositivo llamado Flipper Zero, una sencilla herramienta de hackeo que cuesta unos 200€, los investigadores crearon su propia red WiFi «Tesla Guest».
Cuando una víctima intenta acceder a la red, es redirigida a una falsa página de inicio de sesión de Tesla creada por los atacantes, quienes se hacen con su nombre de usuario, contraseña y código de autenticación de dos factores directamente desde el sitio duplicado.
Aunque el investigador utilizó un Flipper Zero para configurar su propia red WiFi, este paso del proceso también se puede hacer con casi cualquier dispositivo inalámbrico, como una Raspberry Pi, un ordenador portátil o un móvil, según el video.
Una vez que los hackers han robado las credenciales de la cuenta de Tesla del propietario, pueden usarlas para iniciar sesión en la aplicación real de Tesla, pero deben hacerlo rápidamente antes de que el código de autenticación de doble factor caduque.
Una de las características de los vehículos Tesla es que los propietarios pueden usar sus teléfonos como llave digital para desbloquear su automóvil sin necesidad de una tarjeta física.
Una vez que han iniciado sesión en la aplicación con las credenciales del propietario, los investigadores configuran una nueva llave de teléfono mientras están a pocos metros del automóvil estacionado.
Los hackers ni siquiera necesitarían robar el automóvil en ese momento; podrían rastrear la ubicación del Tesla desde la aplicación y robarlo más tarde.
El propietario de Tesla no recibe ninguna notificación cuando se configura una nueva llave de teléfono. Y, aunque el manual del propietario del Tesla Model 3 indica que se requiere la tarjeta física para configurar una nueva llave de teléfono, los investigadores descubrieron que no era el caso, según el video.
Cuando se informó el problema a Tesla, la compañía respondió que lo había investigado y que no era un problema, según lo declarado en el video.