本文作者:恒亮
特斯拉为旗下电动车专门研发了手机端的 App,车主通过这款 App 可以实现诸多远程功能:例如在手机上查看爱车的剩余电量、在拥挤不堪的停车场里迅速找到爱车,以及在忘带钥匙的情况下通过手机 App 打开车门等。无疑这为车主提供了诸多的便利,但同时也可能带来一些潜在危险。
近日,挪威互联网安全公司 Promon 在其官网放出了一个视频,展示了特斯拉这款 App 的潜在风险:黑客可能利用这款 App,在没有钥匙的情况下定位特斯拉的停靠位置,并顺利盗走汽车。
Promon 的具体做法是:首先在特斯拉超级充电站附近建立一个免费的 WiFi 热点,然后发起一个虚假的免费提供汉堡的促销活动,以吸引周围的特斯拉车主在充电时能够发现该促销网站并注册。接下来,Promon 通过用户的注册行为就能将恶意软件安装到用户的手机上,不知不觉就能从特斯拉的 App 中窃取车主的用户名和密码。之后,通过用户名和密码就能顺利盗走汽车。更重要的是,黑客还能利用类似的方法窃取车主手机上的银行账户和电邮账户的登录信息,以及其他诸多的敏感信息。
Promon 创始人兼首席技术官 Tom Lysemose Hansen 表示:“特斯拉取消实体钥匙,与银行、支付行业的做法是一样的,实体货币正在被移动货币所取代,这似乎是大势所趋的做法。但我们认为,特斯拉和汽车行业需要提高其应用的安全等级。”
Promon 还表示,目前已经就此事与特斯拉公司展开对话。特斯拉的一位发言人也表示它们已经意识到了该问题。可喜的是这种黑客攻击方式目前似乎并不为人所知,目前为止还没有车主报告称有黑客试图通过专属 App 来盗取汽车。
以下为 Promon 的视频:https://v.qq.com/x/page/z03497i6ruq.html?start=27