Não, Flipper Zero não é uma ferramenta multifuncional para roubo de Tesla

de acordo com O que parece ser metade da interneto Nadadeira Zero ele Ferramenta maligna Isso permite Magia vil conhecido como “o pirataRecentemente, circularam artigos afirmando que o Flipper Permite que hackers roubem Teslas Bem debaixo de seus narizes Proprietários americanos bons e trabalhadores – Um crime que certamente merece ser julgado em Haia.

Exceto que isso não é verdade. Embora o “hack” seja real – embora não da maneira que você pensa – Flipper não tem culpa pela situação. Isso não apenas não ajuda os atores mal-intencionados, como torna suas vidas muito mais difíceis do que apenas fazer a mesma coisa em um laptop.

Parte Um: Ataque

Primeiro, vamos falar sobre o ataque em si. Qualquer profissional de segurança da computação do primeiro ano — como eu já fui — pode dizer que A parte mais fraca de qualquer sistema de computador é o saco de carne que o utilizaOs ataques mais inteligentes exploram essa fraqueza em vez de qualquer tipo de código. Este ataque Tesla é um desses ataques e é chamado de ataque de phishing.

Um ataque de phishing é um ataque em que o invasor pede informações ao usuário, enquanto finge ser alguém que merece uma resposta. Quando você recebe um e-mail avisando sobre atividades suspeitas em sua conta do Gmail, mas ele o direciona para uma página de login falsa esperando que você insira seu nome de usuário e senha verdadeiros, isso é phishing.

Neste ataque específico, atores maliciosos acessam o site do Tesla Supercharger e abrem uma rede WiFi pública chamada “Tesla Guest”. Quando um proprietário de Tesla se conecta, ele é direcionado para uma página de login solicitando seu nome de usuário e senha para seu aplicativo Tesla. Uma vez inserida, a rede falsa solicita um código de autenticação de dois fatores e todas as três informações são entregues ao invasor.

O invasor deve então inserir as informações de login do usuário no aplicativo Tesla original antes que a senha de dois fatores expire, dando acesso à conta do proprietário do Tesla – e todos os seus recursos conectados ao carro. Esses recursos incluem o uso de um telefone – como aquele em que o invasor acabou de fazer login – como uma chave que poderia, teoricamente, ser usada para desbloquear um Tesla e ir embora. Fácil como uma torta, se a torta não puder ficar no forno por mais de 30 segundos antes de queimar e ficar crocante.

Parte Dois: Zero Fin

Na demonstração, esse ataque é realizado usando Flipper Zero para criar uma rede WiFi falsa. Esta é a função que o Flipper possui, pois pode criar uma rede WiFi sem qualquer conexão real com a Internet, mas o mesmo também se aplica a muitos dispositivos sem fio.

Raspberry Pis, laptops, telefones celulares, câmeras GoPro, alto-falantes de home theater na sala, todos esses dispositivos podem criar uma rede WiFi. É verdade que muitos deles não oferecem muito controle sobre essa rede – embora eu tenha certeza de que existem programas dedicados a hackear uma GoPro ou uma barra de som – mas muitos deles Fazer. Um laptop pode realizar essa tarefa tão facilmente quanto qualquer Flipper.

Na verdade, é ainda mais fácil quando você considera que os laptops vêm com WiFi integrado de fábrica. As barbatanas, apesar de todos os seus meios de comunicação, não o fazem – uma Placa de desenvolvimento WiFijuntamente com a antena necessária, devem ser adquiridos separadamente e adicionados antes que o dispositivo possa realmente fazer qualquer coisa mostrada na demonstração.

Parte Três: Nada disso importa de qualquer maneira

E há aquela palavra novamente, experimental. Como muitas vulnerabilidades publicadas recentemente, este ataque é totalmente teórico – ocorreu sob condições controladas por alguém que estava sentado em ambos os lados do ataque, em vez de estar à solta em busca de vítimas inesperadas. Se um ataque só existe num vídeo do YouTube que demonstra o seu sucesso, será que ele existe?

Os pesquisadores que descobriram a vulnerabilidade, Misk, publicaram-na para chamar a atenção de Tesla. eles Chapéus cinza — Claro, eles publicaram uma vulnerabilidade, mas o objetivo era fazer com que Tesla soubesse disso Reparar Ele Ela. Especificamente, eles querem proteções mais fortes dentro do aplicativo Tesla, para evitar que atores mal-intencionados criem facilmente novas chaves de telefone sem o conhecimento do proprietário do carro.

Este “hack” não é um hack, não da forma como a maioria das pessoas pensa. Ele não é alguém que usa casaco e óculos escuros em um quarto escuro, digitando texto verde em um terminal preto para acessar um mainframe e fazer… Crimes. É engenharia social – Eddie Vedder, da contabilidade, liga para Norm, da área de segurança, após uma oscilação de energia, para solicitar o número de telefone do modem para concluir este projeto.. Isso é teoricamente possível, claro, mas é improvável que dê certo Assim apenas Para que o ataque tenha sucesso – e se tiver, quase certamente não é culpa do Flipper Zero.