Mới đây, hai nhà nghiên cứu bảo mật đă t́m ra cách đánh cắp ô tô bằng cách tạo ra một điểm truy cập WiFi giả mạo.
Hai nhà nghiên cứu bảo mật Tommy Mysk và Talal Haj Bakry của Mysk vừa xuất bản một video trên YouTube giải thích về việc kẻ gian có thể dễ dàng đánh cắp ô tô bằng một kỹ thuật xă hội đơn giản.
Tesla (công ty sản xuất ô tô điện) có hơn 50.000 trạm sạc trên toàn thế giới, cung cấp mạng WiFi có tên “Tesla Guest”, cho phép chủ xe có thể đăng nhập và sử dụng trong khi chờ xe sạc.
Các nhà nghiên cứu đă sử dụng một thiết bị có tên Flipper Zero (một công cụ hack có giá 169 USD) để tạo ra một mạng WiFi giả mạo cũng mang tên "Tesla Guest". Khi nạn nhân cố gắng truy cập mạng, họ sẽ được đưa đến trang đăng nhập Tesla giả do tin tặc tạo ra, sau đó chúng sẽ đánh cắp tên người dùng, mật khẩu và mă xác thực hai yếu tố.
Mysk lưu ư việc tạo mạng WiFi giả mạo có thể thực hiện bằng hầu hết mọi thiết bị không dây, như Raspberry Pi, laptop hoặc điện thoại di động.
Mysk giải thích trong video, khi tin tặc đánh cắp được thông tin đăng nhập, họ có thể sử dụng nó để đăng nhập vào ứng dụng Tesla.
Một trong những tính năng độc đáo của xe Tesla là chủ sở hữu có thể sử dụng điện thoại làm ch́a khóa kỹ thuật số để mở khóa xe mà không cần thẻ khóa vật lư.
Sau khi đăng nhập vào ứng dụng bằng thông tin đăng nhập của chủ sở hữu, các nhà nghiên cứu sẽ thiết lập một ch́a khóa kỹ thuật số mới trong khi đứng cách chiếc ô tô mục tiêu vài mét.
Tin tặc thậm chí sẽ không cần phải đánh cắp chiếc xe ngay lúc đó, họ có thể theo dơi vị trí của xe từ ứng dụng và đánh cắp khi thuận lợi.
Mysk cho biết chủ sở hữu Tesla thậm chí c̣n không được thông báo khi khóa kỹ thuật số mới được tạo ra, mặc dù trong sách hướng dẫn sử dụng nói rằng cần phải có thẻ khóa vật lư để thiết lập ch́a khóa kỹ thuật số mới.
Các trạm sạc xe điện Tesla cung cấp WiFi cho khách kết nối. Ảnh: Pexels
Chia sẻ với Gizmodo, Tommy Mysk cho biết: “Điều này có nghĩa là nếu email và mật khẩu bị ṛ rỉ, chủ sở hữu ô tô Tesla sẽ dễ bị mất xe. Các cuộc tấn công lừa đảo và kỹ thuật xă hội ngày nay rất phổ biến, đặc biệt là với sự phát triển của công nghệ AI, và các công ty có trách nhiệm phải tính đến những rủi ro như vậy.”
Khi Mysk báo cáo vấn đề với Tesla, công ty trả lời rằng họ đă điều tra và cho rằng đây không phải là vấn đề.
Tommy Mysk cho biết anh đă thử nghiệm phương pháp này nhiều lần trên chính chiếc xe của ḿnh và khẳng định lần nào nó cũng hoạt động.
Ở cuối video, Mysk cho biết vấn đề có thể được khắc phục nếu Tesla bắt buộc phải xác thực thẻ khóa vật lư và thông báo cho chủ sở hữu khi khóa kỹ thuật số mới được tạo.
Đây không phải là lần đầu tiên các nhà nghiên cứu t́m ra cách thức để hack ô tô Tesla. Vào năm 2022, một thanh niên 19 tuổi cho biết anh đă đột nhập vào 25 chiếc Tesla trên khắp thế giới (mặc dù lỗ hổng cụ thể đă được khắc phục). Cuối năm đó, một công ty bảo mật đă t́m ra cách khác để hack vào xe Tesla từ cách xa hàng trăm km.