نفوذگران می‌توانند خودروهای تسلا را با استفاده از برنامه اندرویدی بدزدند

۱۲قبلاً هم خبرهایی درباره نفوذ به خودروهای تسلا شنیده‌ بودیم، اما این بار یک گروه از محققان امنیتی شرکت Promon توانسته‌اند تنها با استفاده از یک برنامه اندرویدی مکان خودرو را شناسایی کرده، به آن نفوذ کرده و خودروی تسلای مورد نظر را به سرقت ببرند.

هر مدل تسلا به همراه یک برنامه گوشی‌ هوشمند برای سامانه‌عامل‌های اندروید و iOS روانه بازار می‌شود. این برنامه به خریداران خودرو امکان می‌دهد برخی کارهای ابتدایی را مانند بررسی وضعیت باتری، مکان‌یابی خودرو و روشن کردن چراغ‌ها به‌منظور پیداکردن محل توقف در پارکینگ انجام دهند.

در حالی‌که استفاده از این امکانات برای صاحبان خودرو خوشایند است، نفوذگران نیز می‌توانند از طریق یک برنامه به خودرو مورد نظر نفوذ کنند.
نکته شایان ذکر اینکه این نفوذ رخ نمی‌دهد مگر آن‌که مالک خودروی تسلا برنامه‌ای مخرب را بارگیری کرده و بر روی گوشی اندروید خود نصب کند.

برای فریب مالکان تسلا به‌منظور بارگیری برنامه مورد نظر، نفوذگران از یک مشوق ساده مانند یک دام استفاده کرده‌اند. آن‌ها شبکه وای‌فای رایگان و بدون رمزی را در نزدیکی ایستگاه شارژ تسلا ایجاد کرده‌اند و برنامه مخرب مورد نظر را بر روی تلفن‌های هوشمندی که به این شبکه متصل می‌شوند، تبلیغ می‌کنند. در این تبلیغات به کاربر گفته می‌شود اگر برنامه مذکور را نصب کند می‌تواند از یک برگر رایگان بهره‌مند شود.

پس از آن‌که کاربر برنامه مخرب را نصب می‌کند، نفوذگران می‌توانند به تلفن‌همراه مورد نظر متصل شده و زمینه سرقت خود را فراهم سازند. Promon می‌گوید برنامه اصلی تسلا به هنگام اتصال به کارگزار این شرکت با استفاده از نام‌کاربری و گذرواژه، یک توکن OAuth دریافت می‌کند.
محققان امنیتی Promon درباره این توکن این‌گونه توضیح می‌دهند: «نخستین بار که کاربر با استفاده از نام‌کاربری و گذرواژه‌ی خود به برنامه تسلا وارد می‌شود، توکن مذکور دریافت شده و در متن ساده و بدون رمزنگاری داخل پوشه جعبه ‌شنی برنامه ذخیره می‌شود. زمانی که برنامه بازنشانی می‌شود، توکن مورد نظر خوانده شده و برای درخواست‌های بعدی استفاده می‌شود.»

گام بعدی بازنشانی توکن است. این بازنشانی از کاربر می‌خواهد نام‌کاربری و گذرواژه‌ی خود را دوباره وارد کند. بدین‌ترتیب نفوذگران با حذف توکن اولیه، کاربر را مجبور می‌کنند اطلاعات ورود خود را مجدد وارد کند. بدین‌ترتیب آن‌ها می‌توانند این اطلاعات را استراق سمع کرده و به برنامه تسلا وارد شوند.
تصور گام بعدی چندان دشوار نیست. با دسترسی کامل به برنامه تسلا، نفوذگران می‌توانند مکان خودرو را شناسایی کرده و حتی عملکرد رانندگی بدون کلید را فعال کنند. بدین‌ترتیب می‌توانند خودرو را بدون داشتن کلید سرقت کنند.

شایان ذکر است که آسیب‌پذیری گفته شده در سمت خودروهای تسلا نبوده بلکه این برنامه تلفن‌همراه است که به نفوذگران امکان سرقت خودرو را می‌دهد. محققان امنیتی می‌گویند این نفوذ بار دیگر خطرات احتمالی کنترل اشیاء را با استفاده از برنامه‌های گوشی‌های هوشمند نشان می‌دهد. آن‌ها به کاربران توصیه می‌کنند همواره سامانه و برنامه‌های مورداستفاده خود را به‌روز نگه‌ داشته و از بارگیری برنامه‌ها از منابع غیر قابل اعتماد خودداری کنند.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

LinkedInFacebookTwitter