Tesla powinna wprowadzić zmiany w aplikacji. Poziom zabezpieczeń alarmująco niski. Przestępcy mogą śledzić właścicieli

Robert Kędzierski
Tesla uchodzi za firmę nowatorską i narzucającą trendy. Eksperci z firmy XSolve postanowili sprawdzić, czy ten wizerunek dotyczy również bezpieczeństwa. Przeanalizowali pod tym względem aplikację Tesli służącą do zarządzania samochodem. I doszli do wniosków, z których Elon Musk powinien wyciągnąć wnioski. I to jak najszybciej.

Elon Musk bez wątpienia jest jednym z najbardziej liczących się innowatorów. Tymczasem aplikacja, która służy do komunikowania się z samochodami Tesli ma poważne braki w poziomie zabezpieczeń - wynika z analiz firmy XSolve specjalizującej się w rozwiązaniach IT. 

Aplikacja daleka od standardów

Każdy właściciel Tesli może zainstalować aplikację, która pomaga zarządzać samochodem. Pozwala ona sprawdzić stan naładowania akumulatora czy lokalizację pojazdu. Za jej pomocą można nawet uruchomić silnik. Wydaje się oczywiste, że tego typu aplikacja powinna posiadać wysoki poziom zabezpieczeń.

Jest jednak inaczej. Jak zauważa XSolve Tesla nie przewidziała opcji dwuetapowej weryfikacji.

Zabezpieczenie, które można włączyć w przypadku wielu serwisów - od platformy z grami Stream po Gmaila czy Facebooka, w aplikacji Tesli nie jest dostępne nawet jako opcja. 

Tesla cię nie ostrzeże

Z brakiem dodatkowej weryfikacji logowania wiążą się dwie inne potencjalnie niebezpieczne cechy aplikacji. Tesla nie alarmuje użytkownika, kiedy dostęp do jego konta zostaje osiągnięty za pomocą nowego urządzenia. Jeśli ktoś przejmie hasło do aplikacji może się na niej logować za pomocą dowolnego sprzętu.

To jednak nie wszystko. Aplikacja Tesli nie alarmuje użytkownika nawet wtedy, gdy logowanie następuje z niecodziennych lokalizacji. Eksperci XSolve w ramach testów logowali się z miejsc oddalonych od siebie od kilkaset kilometrów. Właściciel pojazdu nie miał o tym pojęcia, nie widział żadnego ostrzeżenia, ani komunikatu. 

 

Jedną z największych wad aplikacji Tesli jest jednak brak powiadomienia o zmianie hasła. 

Problemów, które XSolve analizuje jest jeszcze więcej dlatego warto obejrzeć powyższe nagranie, które porusza też kwestię aplikacji zewnętrznych.

Dlaczego to niebezpieczne?

Brak zabezpieczeń w aplikacji Tesli bardziej świadomym użytkownikom może wydawać się wręcz szokujący. Niesie ze sobą pewne ryzyko ataku na wielu poziomach. Przestępcy mogą uzyskać dostęp do konta ofiary i śledzić jego lokalizację planując kradzież. Przejęcie hasła ułatwia też zwykłą inwigilację - sprawdzanie gdzie dana osoba znajduje się w określonym czasie. W grę wchodzi też phishing czy wykorzystanie aplikacji Tesli do przejmowania kontroli nad innymi kontami czy aplikacjami. 

O tym, że scenariusz ataku na inteligentny samochód może się ziścić informował portal Wired. W sieci pojawiają się bowiem ogłoszenia o kupnie i sprzedaży danych pochodzących ze zhakowanych aplikacji. Przestępcy robią użytek z danych takich jak VIN, szukają pojazdów aktywnych.

Jak rozwiązać problem?

Eksperci XSolve postanowili nie ograniczać się jedynie do krytyki. Poszli o krok dalej i zaproponowali zmiany w aplikacji Tesli. Na wizualizacjach, które stworzyli, widać, że informowanie użytkownika o tym, że ktoś zalogował się na jego konto za pomocą innej maszyny można zrobić w sposób estetyczny i czytelny.

Przeglądanie urządzeń, za pomocą możliwy jest dostęp do konta - a w raz z nim do samochodu - również nie wydaje się skomplikowany. 

Korzystanie z aplikacji zewnętrznych, takich, które łączą się z aplikacją Tesli, również mogłoby być znacznie bezpieczniejsze. Wystarczy wykorzystać będący standardem w branży mechanizm OAuth 2.0 i odpowiednio zaprojektować interfejs. Jak widać na poniższym przykładzie dzięki takiej zmianie użytkownik Tesli miałby większą świadomość tego co poszczególne aplikacje zewnętrzne mogą robić, do czego mają dostęp. 

Czytaj też: Tesla, gigant, który dla niektórych jest piramidą. Jak jest naprawdę?

Jak czytamy na blogu XSolve prezes firmy, Piotr Majchrzak, prywatnie wielki fan Tesli,  proponuje stworzenie odpowiednio zabezpieczonej aplikacji za darmo. Elon Musk powinien tej rady posłuchać i wprowadzić zmiany. Cyberprzestępcy niejednokrotnie udowodnili, że są w stanie wykorzystać każdą lukę w bezpieczeństwie. Niski poziom w aplikacji Tesli wydaje się wręcz zaproszeniem dla hakerów. 

Piotr Majchrzak jest wielkim fanem Tesli i proponuje stworzenie odpowiednio zabezpieczonej aplikacji za darmo

***

Więcej o:
Komentarze (19)
Tesla powinna wprowadzić zmiany w aplikacji. Poziom zabezpieczeń alarmująco niski. Przestępcy mogą śledzić właścicieli
Zaloguj się
  • japka_putina

    Oceniono 19 razy 11

    Elon może i jest innowatorem, ale jest nim w sposób beztroski i nieodpowiedzialny, czego najlepszym przykładem jest Autopilot.

  • java77

    Oceniono 16 razy 10

    idiotyzmem jest podpinac wlasne auto do sieci internetowej.

  • elpollako12

    Oceniono 12 razy 8

    Mi tam starego Sejczento nikt nie zhakuje. Jestem bogatszy w "experience" zwany spokojem :D

  • mazzinl890

    Oceniono 27 razy 7

    To pierwszy raz w GW kiedy Elon Musk nie jest geniuszem, wizjonerem, półbogiem lecz pomylonym dupkiem od palenia pieniedzy.
    Zgroza!

  • rasta-mw

    Oceniono 7 razy 5

    Fakt, wypisane braki można dodać w kilka dni pracy kilku developerów i testerów. Choć podejrzewam, że to tylko czubek góry lodowej i poważniejsze błędy czają się tuż za frontednem ;)

  • tijeras66

    Oceniono 11 razy 3

    "Za jej pomocą można nawet uruchomić silnik." - w sensie silniki elektryczne kręcą się na jałowym biegu? :) Czy może chodzi o to, że można ruszyć samochód z miejsca :)

  • zokko

    Oceniono 9 razy 3

    Elon wszechmogący?:)

  • chris rhode

    0

    I to jest ultra ważne dla polskiego czytelnika! Ile Tesli jeździ po Polsce? Ile Tesli pojawi się na polskich drogach w następnych latach? Odpowiedź:5 do 10. Ale wiadomość jest cool.

  • palmtop

    Oceniono 1 raz -1

    Ooo, widzę, że brakuje miażdżących komentarzy, jak to Elon przepala pieniądze. Pewnie dlatego, że co niektórym nie sprawdza się wizja, jak to Tesla zbankrutuje za dwa miesiące. Wszystkie funta kłaków warte analizy największych mądrali z forum sprzed paru miesięcy szlag trafia, kiedy to Model 3 staje się z każdym miesiącem numerem 1 w USA, a za chwilę na całym świecie. Go Elon go! Jeszcze raz powtarzam, to ostatnia szansa na zakup tanich akcji Tesli.

Aby ocenić zaloguj się lub zarejestrujX