Utenti Home       Utenti Aziendali       Chi Siamo       Contratto EULA.

Dettaglio news

Utilizzato un malware per Android per hackerare e rubare un’auto Tesla
- MARTEDÌ 29 NOVEMBRE 2016



I precedenti tentativi di hackeraggio delle auto Tesla hanno attaccato il software stesso a bordo del veicolo. Così sono riusciti ad hackerare la Tesla Model S il mese scorso, permettendo a un utente malintenzionato di controllare una macchina da 12 miglia di distanza.  
In seguito, alcuni esperti hanno adottato un approccio diverso. Anziché portare avanti attacchi complicati sul firmware dell’auto, hanno deciso di andare oltre con l’app di Tesla per Android, che molti proprietari di auto usano per interagire con il proprio veicolo.

App Android di Tesla come punto di ingresso degli hacker
In base ad un’impostazione predefinita, quando i proprietari di auto Tesla installano l’applicazione per Android, devono inserire nome utente e password, per i quali l’app genera un token OAuth. L’app utilizzerà questo token ogni volta che l’utente riapre la sua applicazione, in modo che costui non si ritrovi a dover inserire nome utente e password numerose volte al giorno.
L’applicazione non tiene questo token per sempre, ma lo elimina dopo 90 giorni, per poi chiedere nuovamente all’utente username e password. Il token è contenuto in un file di testo semplice, nella cartella “sandbox” dell’app. Un utente malintenzionato può leggere questo token se ha accesso al telefono dell’utente.

Come rubare la password dell’utente 
Non parrebbe essere così difficile per un utente creare un’app dannosa per Android, che contenga rooting exploit quali Towelroot e Kingroot. Questi exploit possono essere utilizzati per intensificare i privilegi sull’app dannosa e leggere i dati o modificare altre app.
Mentre il token permette ad un utente malintenzionato di eseguire diverse azioni, non può, tuttavia, avviare una macchina Tesla. Per questo necessita della password dell’utente.
Se il malware elimina il token OAuth dal telefono dell’utente, l’app richiederà all’utente di inserire di nuovo la sua password, fornendo così l’opportunità perfetta per rubargli la password.
Gli hacker modificano anche il codice sorgente dell’app di Tesla per rubare i dati di accesso. L’utente malintenzionato può alterare l’app di Tesla e inviare una copia dell’username e della password della vittima all’aggressore. Con tali dati, l’attaccante può eseguire azioni, quali l’utilizzo della funzionalità di guida senza chiave della vettura, e avviare il motore, aprire gli sportelli, o rintracciare la vettura sulla strada. E queste non sono tutte le azioni possibili, ma solo quelle testate! Tutto ciò viene svolto solo con l’invio di richieste http ben costruite al server di Tesla, con il token OAuth della vittima e la password quando necessario.

In che modo viene convinto l’utente ad installare l’app dannosa?
Per gli hacker è importante prima di tutto trovare il modo di convincere la vittima ad installare l’app dannosa. Un modo, ad esempio, è promettendole un pasto gratis in un ristorante locale.
È, dunque, indispensabile che l’app di Tesla preveda due fattori per l’autenticazione, dovrebbe evitare di memorizzare il token OAuth nel cleartext, impedire un facile accesso al suo codice sorgente e utilizzare un layout di tastiera personalizzato quando si inserisce la password, per combattere al meglio i keylogger per dispositivi mobili.


Leggi tutte le news     |     Leggi tutti gli update
Ultime news

LUNEDÌ 9 DICEMBRE 2019
Instagram cambia: le nuove policy aumentano le tutele per i minori e la privacy
Ci sono diverse novità che riguardano il popolarissimo social Instagram: la prima e sicuramente più "impattante" è che ora, per iscriversi, occorrerà dichiarare l'età e l...

leggi tutte le news

Premi e Certificazioni

La qualità dei prodotti Quick Heal vanta innumerevoli premi e certificazioni a testimonianza della sempre crescente importanza del marchi a livello mondiale nel settore Antivirus e sicurezza informatica

Continua a leggere »

Chi siamo
Panoramica
La nostra storia
Premi & Certificazioni
Scheda riepilogativa
Clienti
Dicono di noi
Trova un rivenditore
Manuali e schede tecniche
Chiedi aiuto
Contatti
Update
Rivenditori
Diventa rivenditore
Strumenti di supporto
Link rapidi
Rinnova ora
File di installazione
Supporto
Contratto EULA.
Download Upgrade

S-MART è un marchio di proprietà netWork Sas
P.IVA: 05345670482

© 2019 nwk - Privacy Policy - Cookie Policy - Login