Мобильное приложение Tesla оказалось «отмычкой»

Исследователи норвежской компании Promon установили, что мобильное приложение для управления системами электромобилей Tesla существенно облегчает жизнь не только владельцам этих транспортных средств, но и потенциальным угонщикам. В ходе эксперимента ученые создали открытую точку доступа WiFi неподалеку от пункта зарядки батарей автомобилей Tesla. Подключавшимся к сети пользователям демонстрировалось рекламное объявление, предлагавшее бесплатную закуску или напиток за переход по ссылке. При нажатии на нее на смартфон устанавливалось специально созданное ПО, взламывающее приложение Tesla и похищающее имя учетной записи и пароль.

В дальнейшем, используя эту информацию, исследователи могли точно отслеживать местоположение машин, а также открывать их двери, запускать двигатель – и, соответственно, угонять (если бы это входило в планы экспериментаторов). Строго говоря, такая схема атаки не является специфической, характерной лишь для приложения Tesla – подобным образом может быть взломано множество мобильных приложений. Однако специалистов норвежской компании удивило то, что разработчики приложения Tesla совсем не позаботились о защите. Так, цифровой аутентификационный токен сохранялся в незашифрованном виде, а приложение никак не реагировало на попытки его изменить, дополнив функционал явно опасными действиями. Все это существенно облегчает задачу потенциальных угонщиков электромобилей Tesla.