Malware de android utilizado para hackear y robar un coche Tesla
Al infectar el teléfono del propietario de un Tesla con malware para Android, un ladrón de coches puede hackear y luego robar un coche Tesla. Los anteriores intentos de piratear coches Tesla atacaron el software de a bordo del vehículo en sí. Así es como los investigadores de seguridad chinos de laboratorio Keen han logrado piratear un Tesla Model S el mes de octubre, lo que permite a un atacante controlar un automóvil a 12 millas de distancia.Los expertos en seguridad de la empresa de seguridad de Noruega Promon han adoptado un enfoque diferente, y en lugar de tratar los ataques complicados en el firmware del coche, que han optado por ir después de la aplicación para Android de Tesla que muchos propietarios de automóviles utilizan para interactuar con su vehículo.
De forma predeterminada, cuando los propietarios de Tesla instalan la aplicación para Android, que tendrán que introducir un nombre de usuario y contraseña, para los que la aplicación genera un token de OAutho. La aplicación va a utilizar esta señal cada vez que el usuario vuelve a abrir su aplicación, por lo que el usuario no tendrá que introducir un nombre de usuario y contraseña decenas de veces por día.
La aplicación no mantiene este token para siempre, pero lo elimina después de 90 días, y pide al usuario su nombre de usuario y la contraseña de nuevo.
Promon investigadores han descubierto que la aplicación de Tesla mantiene este token en un archivo de texto plano, en una carpeta de la aplicación. Un atacante puede leer esta muestra si tiene acceso al teléfono del usuario.
Los investigadores dicen que es fácil para un atacante crear una aplicación para Android malicioso, que contiene exploits de enraizamiento como Towelroot y Kingroot. Estas vulnerabilidades se pueden utilizar para escalar privilegios de la aplicación maliciosa y leer datos o alterar otras aplicaciones.
Mientras que el token permite a un atacante realizar diversas acciones, que no se puede iniciar un coche Tesla. Para ello necesita la contraseña del usuario.
Promon investigadores dicen que si el malware se elimina el token OAuth de teléfono del usuario, la aplicación le pedirá al usuario que introduzca su contraseña de nuevo, proporcionando la oportunidad perfecta para recoger la contraseña del usuario.
Los atacantes también modificar el código fuente de la aplicación de Tesla para robar datos de acceso
Los investigadores dicen que esto es fácil y se puede hacer modificando el código original de la aplicación Tesla. Dado que el atacante ya ha arraigado el teléfono del usuario, el atacante puede alterar la aplicación Tesla y enviar una copia del nombre de usuario y la contraseña de la víctima para el atacante.
Con estos datos en la mano, el atacante puede realizar una serie de acciones, como el uso de la funcionalidad de conducción sin llave del coche y arrancar el motor, las puertas abiertas, o la pista el coche en la carretera. Otras acciones también son teóricamente posibles, pero los investigadores no han probado todos ellos.
Todos esto se realiza mediante el envío de peticiones HTTP bien elaborados a los servidores Tesla con el token de OAuth de la víctima, y la contraseña, si es necesario.
Las víctimas tienen que instalar una aplicación maliciosa en sus teléfonos primera
Paa que todo esto sea posible, la clave principal es que el atacante convence a la víctima para instalar una aplicación en su dispositivo Android.
Aunque Tesla es el culpable de no proteger el token OAuth en su aplicación, cariers móviles también tienen responsabilidad. Durante el año pasado, Google ha estado proporcionando actualizaciones de seguridad oportunas para el sistema operativo Android, que muchos han logrado ofrecer a sus clientes.
Promon ingenieros recomiendan que la aplicación Tesla proporciona autenticación de dos factores, se debe evitar almacenar el token OAuth en texto plano, prevenir fácil acceso a su código fuente, y utilizar un diseño de teclado personalizado al introducir contraseñas para luchar contra los keyloggers móviles.
Fecha actualización el 2021-09-30. Fecha publicación el 2016-11-25. Categoría: Malware. Autor: Oscar olg Mapa del sitio