bencede
New member
“Tesla” ve “Flipper Zero” terimlerinin birleşimi hem yetkililerin hem de güvenlik sektörünün hem dikkatini hem de hoşnutsuzluğunu çekiyor. 170 euroluk cihazın en bilinen hilelerinden biri elektrikli arabaların yakıt deposu kapağını açmaktı. Kanada hükümeti, bilgisayar korsanlığı yapan çok amaçlı aleti yasaklamayı bile planlıyor.
Duyuru
“Mysk” adlı Kanadalı-Alman bir araştırma ikilisi, Tesla uygulamasına yönelik, en kötü durumda aracın kaybına bile yol açabilecek bir saldırıyı ortaya çıkardı. Ancak bu, araç güvenliğinde gerçek bir boşluk değil: Güvenlik uzmanları, ortadaki adam saldırıları ve kimlik avının birleşimine güveniyor.
Saldırıda Flipper Zero, Wifi Pineapple veya benzer bir cihaz kullanılıyor; bu cihaz, uygun yazılım ve biraz müdahale ile WLAN erişim noktasını simüle edebiliyor ve böylece sahte bir “ücretsiz WLAN” oluşturabiliyor. Girişim meraklıları, birçok genel ağ oturum açma işleminde yaygın olduğu gibi bir portal oturum açma sayfasını kullanarak, şüphelenmeyen Tesla sahiplerinden kullanıcı adını, parolayı ve iki faktörlü kodu alır.
Sadece 60 saniye
Artık acele etme zamanı: Saldırganlar, çalınan erişim verileriyle mobil cihazlarındaki Tesla uygulamasına erişiyor ve akıllı telefonlarını elektrikli otomobilin dijital anahtarı olarak kaydediyor. Gerçek sahibi, yinelenen elektronik anahtarın farkında değil: Tesla, yeni kaydedilen “telefon anahtarlarını” ne anlık mesajla ne de e-postayla bildirmiyor.
Sanal araba hırsızları, kopya anahtarlarını uygulamaya kaydettikten sonra aracı kilitleyebilir, kilidini açabilir ve teorik olarak onunla baş edebilirler.
Tesla, saldırı senaryosunu bildirdikten sonra ödül ödemek istemedi ve güvenlik açıklarını sınıflandırma yönergelerine başvurdu. Bu, sosyal mühendislik veya kimlik avı saldırılarının, çok faktörlü kimlik doğrulama sorunları kadar işe yaramaz olduğu anlamına gelir.
Saptırmalarla saldırı
Otomobil üreticisi bu değerlendirmesinde haksız değil: Arabanızı kimlik avı nedeniyle kaybetme fikri başlangıçta korkutucu gelse de, WLAN kimlik avı yoluyla araba hırsızlığının gerçekten başarılı olabilmesi için birçok faktörün bir araya gelmesi gerekiyor.
Saldırganlar hedef nesneye yakın durmalı, yani sahibini bir süper şarj cihazında veya Tesla servis merkezinde durdurmalıdır. Sahte WLAN'ınız aynı zamanda gerçek Tesla misafir ağından daha güçlü bir radyo sinyali yaymalıdır; normal WLAN cihazlarının nispeten zayıf antenleri burada pek yeterli olmayacaktır.
Başarılı bir kimlik avı saldırısının ardından hırsızların, çalınan OTP kodunu hâlâ geçerliyken kötüye kullanabilmek için çevik parmaklara ihtiyacı vardır. Ancak o zaman kurbanın dikkatini dağıtıp arabayı çalabilecekler.
Yani Flipper Zero kullanılarak Tesla arabalarına yapılan bu saldırı hala gerçek bir tehlike potansiyeli olmayan hoş bir teknik hile izlenimi bırakıyor. Diğer üreticilerin araçlarına yönelik saldırılarda da durum benzerdi: C't editörleri, becerilerini 2018 VW Passat üzerinde bir video testinde öğrendi.
(cku)
Haberin Sonu
Duyuru
“Mysk” adlı Kanadalı-Alman bir araştırma ikilisi, Tesla uygulamasına yönelik, en kötü durumda aracın kaybına bile yol açabilecek bir saldırıyı ortaya çıkardı. Ancak bu, araç güvenliğinde gerçek bir boşluk değil: Güvenlik uzmanları, ortadaki adam saldırıları ve kimlik avının birleşimine güveniyor.
Saldırıda Flipper Zero, Wifi Pineapple veya benzer bir cihaz kullanılıyor; bu cihaz, uygun yazılım ve biraz müdahale ile WLAN erişim noktasını simüle edebiliyor ve böylece sahte bir “ücretsiz WLAN” oluşturabiliyor. Girişim meraklıları, birçok genel ağ oturum açma işleminde yaygın olduğu gibi bir portal oturum açma sayfasını kullanarak, şüphelenmeyen Tesla sahiplerinden kullanıcı adını, parolayı ve iki faktörlü kodu alır.
Sadece 60 saniye
Artık acele etme zamanı: Saldırganlar, çalınan erişim verileriyle mobil cihazlarındaki Tesla uygulamasına erişiyor ve akıllı telefonlarını elektrikli otomobilin dijital anahtarı olarak kaydediyor. Gerçek sahibi, yinelenen elektronik anahtarın farkında değil: Tesla, yeni kaydedilen “telefon anahtarlarını” ne anlık mesajla ne de e-postayla bildirmiyor.
Sanal araba hırsızları, kopya anahtarlarını uygulamaya kaydettikten sonra aracı kilitleyebilir, kilidini açabilir ve teorik olarak onunla baş edebilirler.
Tesla, saldırı senaryosunu bildirdikten sonra ödül ödemek istemedi ve güvenlik açıklarını sınıflandırma yönergelerine başvurdu. Bu, sosyal mühendislik veya kimlik avı saldırılarının, çok faktörlü kimlik doğrulama sorunları kadar işe yaramaz olduğu anlamına gelir.
Saptırmalarla saldırı
Otomobil üreticisi bu değerlendirmesinde haksız değil: Arabanızı kimlik avı nedeniyle kaybetme fikri başlangıçta korkutucu gelse de, WLAN kimlik avı yoluyla araba hırsızlığının gerçekten başarılı olabilmesi için birçok faktörün bir araya gelmesi gerekiyor.
Saldırganlar hedef nesneye yakın durmalı, yani sahibini bir süper şarj cihazında veya Tesla servis merkezinde durdurmalıdır. Sahte WLAN'ınız aynı zamanda gerçek Tesla misafir ağından daha güçlü bir radyo sinyali yaymalıdır; normal WLAN cihazlarının nispeten zayıf antenleri burada pek yeterli olmayacaktır.
Başarılı bir kimlik avı saldırısının ardından hırsızların, çalınan OTP kodunu hâlâ geçerliyken kötüye kullanabilmek için çevik parmaklara ihtiyacı vardır. Ancak o zaman kurbanın dikkatini dağıtıp arabayı çalabilecekler.
Yani Flipper Zero kullanılarak Tesla arabalarına yapılan bu saldırı hala gerçek bir tehlike potansiyeli olmayan hoş bir teknik hile izlenimi bırakıyor. Diğer üreticilerin araçlarına yönelik saldırılarda da durum benzerdi: C't editörleri, becerilerini 2018 VW Passat üzerinde bir video testinde öğrendi.
(cku)
Haberin Sonu