Este artigo foi publicado originalmente no Business Insider.
Se você possui um Tesla, você pode querer ser extremamente cuidadoso ao fazer login nas redes WiFi nas estações de carregamento Tesla.
Os pesquisadores de segurança Tommy Mysk e Talal Haj Bakry da Mysk Inc. publicaram um vídeo no YouTube na quinta-feira explicando como pode ser fácil para hackers fugirem com seu carro usando um truque inteligente de engenharia social.
Veja como funciona.
Muitas estações de carregamento Tesla – das quais existem mais de 50.000 no mundo – oferecem uma rede WiFi normalmente chamada de “Tesla Guest” na qual os proprietários de Tesla podem fazer login e usar enquanto esperam o carregamento do carro, de acordo com o vídeo de Mysk.
Usando um dispositivo chamado Flipper Zero – uma ferramenta simples de hacking de US$ 169 – os pesquisadores criaram sua própria rede WiFi “Tesla Guest”. Quando uma vítima tenta acessar a rede, ela é levada a uma página de login falsa do Tesla criada pelos hackers, que então roubam seu nome de usuário, senha e código de autenticação de dois fatores diretamente do site duplicado.
Embora Mysk tenha usado um Flipper Zero para configurar sua própria rede WiFi, esta etapa do processo também pode ser realizada com praticamente qualquer dispositivo sem fio, como um Raspberry Pi, um laptop ou um telefone celular, disse Mysk no vídeo.
Depois que os hackers roubarem as credenciais da conta Tesla do proprietário, eles poderão usá-las para fazer login no aplicativo Tesla real, mas terão que fazer isso rapidamente antes que o código 2FA expire, explica Mysk no vídeo.
Uma das características exclusivas dos veículos Tesla é que os proprietários podem usar seus telefones como uma chave digital para destravar o carro sem a necessidade de um cartão-chave físico.
Depois de fazer login no aplicativo com as credenciais do proprietário, os pesquisadores configuraram uma nova chave do telefone enquanto ficavam a poucos metros de distância do carro estacionado.
Os hackers nem precisariam roubar o carro naquele momento; eles poderiam rastrear a localização do Tesla a partir do aplicativo e roubá-lo mais tarde.
Mysk disse que o desavisado proprietário do Tesla nem mesmo é notificado quando uma nova chave de telefone é configurada. E, embora o manual do proprietário do Tesla Model 3 diga que o cartão físico é necessário para configurar uma nova chave do telefone, Mysk descobriu que não era esse o caso, de acordo com o vídeo.
“Isso significa que com um e-mail e senha vazados, o proprietário pode perder seu veículo Tesla. Isso é uma loucura”, disse Tommy Mysk ao Gizmodo. “Os ataques de phishing e de engenharia social são muito comuns hoje em dia, especialmente com o aumento das tecnologias de IA, e as empresas responsáveis devem ter em conta esses riscos nos seus modelos de ameaças”.
Quando Mysk relatou o problema à Tesla, a empresa respondeu que havia investigado e decidido que não era um problema, disse Mysk no vídeo.
A Tesla não respondeu ao pedido de comentários do Business Insider.
Tommy Mysk disse que testou o método em seu próprio veículo várias vezes e até usou um iPhone redefinido que nunca havia sido emparelhado com o veículo, informou o Gizmodo. Mysk afirmou que funcionou sempre.
Mysk disse que conduziu o experimento apenas para fins de pesquisa e disse que ninguém deveria roubar carros (concordamos).
No final do vídeo, Mysk disse que o problema poderia ser resolvido se a Tesla tornasse obrigatória a autenticação do cartão-chave físico e notificasse os proprietários quando uma nova chave do telefone fosse criada.
Esta não é a primeira vez que pesquisadores experientes encontram maneiras relativamente simples de invadir Teslas.
Em 2022, um jovem de 19 anos disse ter invadido 25 Teslas em todo o mundo (embora a vulnerabilidade específica já tenha sido corrigida); mais tarde naquele ano, uma empresa de segurança encontrou outra maneira de invadir Teslas a centenas de quilômetros de distância.
