Hayır, Flipper Zero Tesla'nın çok amaçlı hırsızlığı aracı değil

buna göre İnternetin yarısı gibi hissettiren şey, Palet Sıfır O Kötü araç Bu mümkün kılar Aşağılık büyü ” olarak bilinirkorsanSon zamanlarda Flipper'ın Bilgisayar korsanlarının Tesla'ları çalmasına izin veriyor Burunlarının hemen dibinde İyi, çalışkan Amerikalı sahipler – Kesinlikle Lahey'de yargılanmayı hak eden bir suç.

Ama bu gerçekten doğru değil. Her ne kadar “hack” gerçek olsa da (her ne kadar sizin düşündüğünüz şekilde olmasa da) Flipper bu durum için hiçbir suç taşımıyor. Kötü niyetli aktörlere gerçekten yardımcı olmamakla kalmıyor, aynı şeyi bir dizüstü bilgisayarda yapmaktan çok daha zor hale getiriyor.

Birinci Bölüm: Saldırı

Öncelikle saldırının kendisinden bahsedelim. Benim bir zamanlar olduğum gibi, birinci sınıftaki herhangi bir bilgi işlem güvenliği uzmanı size bunu söyleyebilir Herhangi bir bilgisayar sisteminin en zayıf kısmı onu kullanan et torbasıdırEn akıllı saldırılar herhangi bir kod türü yerine bu zayıflıktan yararlanır. Bu Tesla saldırısı da o saldırılardan biri ve buna kimlik avı saldırısı deniyor.

Kimlik avı saldırısı, saldırganın kullanıcıdan bilgi istediği ve cevabı hak eden biri gibi davrandığı bir saldırıdır. Gmail hesabınızda şüpheli etkinlik konusunda sizi uyaran bir e-posta aldığınızda, ancak bu e-posta sizi gerçek kullanıcı adınızı ve şifrenizi girmenizi umarak sahte bir giriş sayfasına yönlendirdiğinde, bu kimlik avıdır.

Bu özel saldırıda, kötü niyetli aktörler Tesla Supercharger web sitesinde oturuyor ve “Tesla Guest” adı verilen halka açık bir Wi-Fi ağı açıyor. Bir Tesla sahibi bağlandığında, Tesla uygulaması için kullanıcı adını ve şifresini soran bir giriş sayfasına yönlendirilir. Sahte ağ, girildikten sonra iki faktörlü bir kimlik doğrulama kodu ister ve üç bilgi parçasının tümü saldırgana iletilir.

Saldırganın, iki faktörlü şifrenin süresi dolmadan önce o kullanıcının oturum açma bilgilerini orijinal Tesla uygulamasına girmesi ve Tesla sahibinin hesabına ve bu hesabın araca bağlı tüm özelliklerine erişim sağlaması gerekiyor. Bu özellikler arasında, saldırganın yeni oturum açtığı telefon gibi bir telefonun, teorik olarak bir Tesla'nın kilidini açmak ve oradan uzaklaşmak için kullanılabilecek bir anahtar olarak kullanılması da yer alıyor. Pasta, yanmadan ve çıtır hale gelmeden önce 30 saniyeden fazla fırında kalamıyorsa pasta kadar kolaydır.

İkinci Bölüm: Sıfır Yüzgeç

Demoda bu saldırı, sahte bir WiFi ağı oluşturmak için Flipper Zero kullanılarak gerçekleştiriliyor. Bu, Flipper'ın sahip olduğu işlevdir; arkasında gerçek bir internet bağlantısı olmadan bir WiFi ağı oluşturabilir, ancak aynı durum birçok kablosuz cihaz için de geçerlidir.

Raspberry Pis, dizüstü bilgisayarlar, cep telefonları, GoPro kameralar, oturma odasındaki ev sineması hoparlörleri, bu cihazların tümü bir WiFi ağı oluşturabilir. Birçoğunun bu ağ üzerinde çok fazla kontrol sağlamadığı doğru – yine de GoPro'yu veya ses çubuğunu hacklemeye adanmış programlar olduğundan eminim – ama birçoğu Yapmak. Bir dizüstü bilgisayar bu görevi herhangi bir Flipper kadar kolay bir şekilde gerçekleştirebilir.

Aslında dizüstü bilgisayarların fabrikadan yerleşik Wi-Fi'ye sahip olduğunu düşündüğünüzde bu daha da kolay. Yüzgeçler, tüm iletişim araçlarına rağmen bunu yapmazlar. Wi-Fi geliştirme kuruluCihazın demoda gösterilen herhangi bir şeyi yapabilmesi için gerekli antenle birlikte ayrıca satın alınması ve eklenmesi gerekir.

Üçüncü Bölüm: Zaten bunların hiçbirinin önemi yok

Ve yine o kelime var, deneysel. Yakın zamanda yayınlanan birçok güvenlik açığı gibi, bu saldırı da tamamen teoriktir; beklenmedik kurbanlar için vahşi doğada beklemek yerine, saldırının her iki tarafında yer alan biri tarafından kontrollü koşullar altında gerçekleştirildi. Bir saldırı yalnızca başarısını gösteren bir YouTube videosunda mevcutsa, gerçekten var mıdır?

Güvenlik açığını keşfeden araştırmacılar Misk, Tesla'nın dikkatini çekmek amacıyla bunu yayınladı. Onlar Gri şapkalar — Elbette bir güvenlik açığı yayınladılar ancak amaç Tesla'nın bundan haberdar olmasını sağlamaktı Tamirat O.O. Özellikle, kötü niyetli aktörlerin araç sahibinin bilgisi olmadan kolayca yeni telefon anahtarları oluşturmasını önlemek için Tesla uygulaması içinde daha güçlü korumalar istiyorlar.

Bu “hack” çoğu insanın düşündüğü şekilde bir hack değildir. O, karanlık bir odada ceket ve güneş gözlüğü takan, ana bilgisayara erişmek için siyah terminale yeşil metin yazan ve… Suçlar. Bu sosyal mühendisliktir. Muhasebeden Bay Eddie Vedder, bu projeyi tamamlamak için modemdeki telefon numarasını istemek üzere bir güç dalgalanmasının ardından Güvenlikten Norm'u arar. Bu teorik olarak mümkün elbette, ancak iyi gitmesi pek mümkün değil Böylece yalnızca Saldırının başarılı olması ve eğer başarılı olursa bu kesinlikle Flipper Zero'nun hatası değildir.