Pasquale De Rose

Le Tesla Model S si possono rubare con Android

I ricercatori norvegesi di Promon dimostrano che attaccando il sistema operativo Google sul quale è installata l'app ufficiale di Tesla Motors si può entrare nell'abitacolo di una smartcar e portarsela via indisturbati

Roma - Dopo i test eseguiti su vetture come Jeep Cherokee, Chevrolet Corvette e sulla tecnologia LiDAR i ricercatori di sicurezza hanno provato ad hackerare ancora una volta le vetture dell'azienda di Elon Musk.


Questa volta a usare una Tesla Model S come cavia non sono stati i ricercatori cinesi di Keen Lab, ma i norvegesi di Promon. Come illustrato nell'articolo pubblicato sul blog ufficiale del team non sono necessari complessi attacchi al firmware della connected car, ma in apparenza l'hacking viene eseguito sfruttando l'app ufficiale Tesla per dispositivi Android, che gli utenti usano per interagire col proprio veicolo. Da quanto affermato è possibile tracciare la posizione geografica della vettura, entrare all'interno della stessa, metterla in moto e sfruttarne le funzioni di guida keyless (senza chiave).

In realtà non si tratta di una vulnerabilità presente dell'app Testa, ma di una falla (ormai patchata) insita nel sistema operativo Android. Tramite tecniche di social hacking viene quindi violato lo smartphone dell'utente, installando un'applicazione malevola che simula in tutto e per tutto la schermata di login al pannello di controllo. L'attaccante provvede poi a cancellare il token di sicurezza rilasciato dai server, che permette all'applicazione di autenticarsi automaticamente, per obbligare l'utente a reinserire la password. Questo passaggio richiede che sul dispositivo siano abilitati i permessi di root, operazione che si può conseguire con applicazioni come Towelroot, Kingroot o malware come Godless o HummingBad.

Questo tipo di attacchi non è dunque specifico per le automobili Tesla, nonostante le smartcar di Elon Musk abbiano di recente presentato falle sfruttabili dai pirati a livello firmware, come dimostrato dal team Keen Lab. Questa volta la sicurezza è stata compromessa sfruttando il fatto che i produttori dei device Android non rilasciano prontamente gli aggiornamenti critici. In realtà, per i device più datati, tali patch non arriveranno mai, in quanto le versioni legacy di Android non vengono più supportate dai produttori hardware. Per questo motivo si stima che il 90 per cento dei dispositivi equipaggiati con il sistema operativo Google è a rischio e che l'89 per cento dei possessori non ne sono al corrente.

Pasquale De Rose

fonte immagine
Notizie collegate
39 Commenti alla Notizia Le Tesla Model S si possono rubare con Android
Ordina
  • si compra un paio di Ferrari per il Challenge, non le spreca per un cesso di Tesla.
    non+autenticato
  • - Scritto da: prova123
    > si compra un paio di Ferrari per il Challenge,
    > non le spreca per un cesso di
    > Tesla.

    Questo avviene nella tua mente bacata da morto di fame, nella realtà:

    http://www.businessinsider.com/18-celebrities-who-...

    Spielberg, Di Caprio, Morgan Freeman, Jennifer Garner, Matt Damon... solo per citarne alcuni.

    Ma tu, cosa ne sai TU.
    non+autenticato
  • ma cos'è sta tesla di merda???
    non+autenticato
  • E' la tesla di prova123, una gran tesla di me**a.
    non+autenticato
  • Nessun problema, basta distruggere il telefono e tutto ok!

    Anche stavolta le auto Tesla si sono dimostrate INFALLIBILI!A bocca aperta
    non+autenticato
  • spendono billion dollars per pagare stilisti froci che disegnino la scocca dell'auto e l'interfaccia utente dell'app, ma pagano con ticket mensa e biglitti dell'autobus i progammatori che si occupano del software di backend, dandogli tempi stringenti tipo "deve essere pronto per lunedi". Ovvio che si prende una libreria da github non manutenuta da anni, la si accrocchia in quanche modo nel soft scopiazzato preso da un zip russo e "funziona". Della sicurezza fotte sega, non c'e' ne' tempo ne' budget. e quindi che vuoi? le specifiche sono SISO, "Shit In, Shit Out"
    non+autenticato
  • - Scritto da: ...
    > spendono billion dollars per pagare stilisti
    > froci che disegnino la scocca dell'auto e
    > l'interfaccia utente dell'app, ma pagano con
    > ticket mensa e biglitti dell'autobus i
    > progammatori che si occupano del software di
    > backend, dandogli tempi stringenti tipo "deve
    > essere pronto per lunedi". Ovvio che si prende
    > una libreria da github non manutenuta da anni, la
    > si accrocchia in quanche modo nel soft
    > scopiazzato preso da un zip russo e "funziona".
    > Della sicurezza fotte sega, non c'e' ne' tempo
    > ne' budget. e quindi che vuoi? le specifiche sono
    > SISO, "Shit In, Shit Out"

    Sarebbe divertente se non fosse la pura e semplice verità Triste
    Izio01
    4027
  • - Scritto da: Izio01
    > - Scritto da: ...
    > > spendono billion dollars per pagare stilisti
    > > froci che disegnino la scocca dell'auto e
    > > l'interfaccia utente dell'app, ma pagano con
    > > ticket mensa e biglitti dell'autobus i
    > > progammatori che si occupano del software di
    > > backend, dandogli tempi stringenti tipo
    > "deve
    > > essere pronto per lunedi". Ovvio che si
    > prende
    > > una libreria da github non manutenuta da
    > anni,
    > la
    > > si accrocchia in quanche modo nel soft
    > > scopiazzato preso da un zip russo e
    > "funziona".
    > > Della sicurezza fotte sega, non c'e' ne'
    > tempo
    > > ne' budget. e quindi che vuoi? le specifiche
    > sono
    > > SISO, "Shit In, Shit Out"
    >
    > Sarebbe divertente se non fosse la pura e
    > semplice verità
    >Triste


    sai come', lavorando per clienti, che hanno clienti, che hanno clienti, che hanno clienti (si al momento alla base di una piramide di 5 strati)... piu la pila e' alta e piu pende, piu e' alta e piu pesa sulla base. e la base sei tu Triste
    progetto che sai per vie traverse essere sui 8-900K€, ma il tuo comminttente, dopo averti preso per il collo per tempi e costi pagandoti a 60 gg, ha pure la faccia di merda di venirti a dire "ma non potresti farmi 200 euro di meno"? PErchge magari con qeullo che risparmi si vuole pagare una puttana...
    non+autenticato
  • - Scritto da: ...
    > progetto che sai per vie traverse essere sui
    > 8-900K€, ma il tuo comminttente, dopo averti
    > preso per il collo per tempi e costi pagandoti a
    > 60 gg, ha pure la faccia di merda di venirti a
    > dire "ma non potresti farmi 200 euro di meno"?
    > PErchge magari con qeullo che risparmi si vuole
    > pagare una
    > puttana...
    Sei già fortunato che non voglia te per la serataTriste
    non+autenticato
  • purtroppo è vero... ma attento a scherzare con il "froci" altrimenti ti inc...
    non+autenticato
  • - Scritto da: Sisko212
    > purtroppo è vero... ma attento a scherzare con il
    > "froci" altrimenti ti
    > inc...

    Da come la immaginavo io, gli stilisti froci (es valentino) pagano per farselo dare nel culo da giovanotti che potrebbero essere i suoi nipoti, vista la differenza di eta'. dici che ci sono stilisti froci attivi che lo danno al posto di prederlo? qui bisogna a chiedere a chi e' del campo... berty? mezzaminchia?
    non+autenticato
  • Ma hai letto l'articolo?

    Domanda di riserva se hai letto l'articolo:

    Hai provato a capirci qualcosa prima di blaterare?
    non+autenticato
  • - Scritto da: drcxcvxc
    > Ma hai letto l'articolo?
    >
    > Domanda di riserva se hai letto l'articolo:
    >
    > Hai provato a capirci qualcosa prima di blaterare?

    Nuovo del forum di PI?

    Qui funziona che si aspetta il fesso che legga l'articolo e posti sul forum un sunto delle parti salienti.
  • - Scritto da: panda rossa
    > - Scritto da: drcxcvxc
    > > Ma hai letto l'articolo?
    > >
    > > Domanda di riserva se hai letto l'articolo:
    > >
    > > Hai provato a capirci qualcosa prima di
    > blaterare?
    >
    > Nuovo del forum di PI?
    >
    > Qui funziona che si aspetta il fesso che legga
    > l'articolo e posti sul forum un sunto delle parti
    > salienti.

    Quindi non hai nulla in contrario se , nell'attesa del fesso che ti spieghi l'articolo , i tuoi commenti vengono giustamente classati come cazzate.

    Non che dopo cambi qualcosa ma almeno prima avresti una scusa "plausibile". Ficoso
  • "classati"??
    non+autenticato
  • - Scritto da: jjj
    > "classati"??

    neologismo da ricchione con l'iphone, non ci badare.
    non+autenticato
  • La stupidaggine è quella di voler usare il telefono per controllare la macchina.
    Non c'è patch che tenga. L'idea è pericolosa di default.
    non+autenticato
  • - Scritto da: 5hfjgjb
    > La stupidaggine è quella di voler usare il
    > telefono per controllare la
    > macchina.
    > Non c'è patch che tenga. L'idea è pericolosa di
    > default.

    +1
    solo che le serrature meccaniche vanno al risparmio, chi si ricorda le 500 che si aprivano con la chiavetta delle simmental?
    non+autenticato
  • - Scritto da: ...
    > - Scritto da: 5hfjgjb
    > > La stupidaggine è quella di voler usare il
    > > telefono per controllare la
    > > macchina.
    > > Non c'è patch che tenga. L'idea è pericolosa di
    > > default.
    >
    > +1
    > solo che le serrature meccaniche vanno al
    > risparmio, chi si ricorda le 500 che si aprivano
    > con la chiavetta delle
    > simmental?


    Solo le 500? E la 126 127, 650 con un ferro-tondino con la punta schiacciata dove le mettiamo?
    non+autenticato
  • - Scritto da: 5hfjgjb
    > La stupidaggine è quella di voler usare il
    > telefono per controllare la
    > macchina.
    > Non c'è patch che tenga. L'idea è pericolosa di
    > default.

    E le borse?
    Non si sbraita più da un po' per raccogliere gli ordini.
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 7 discussioni)