Elon Musk bez wątpienia jest jednym z najbardziej liczących się innowatorów. Tymczasem aplikacja, która służy do komunikowania się z samochodami Tesli ma poważne braki w poziomie zabezpieczeń - wynika z analiz firmy XSolve specjalizującej się w rozwiązaniach IT.
Aplikacja daleka od standardów
Każdy właściciel Tesli może zainstalować aplikację, która pomaga zarządzać samochodem. Pozwala ona sprawdzić stan naładowania akumulatora czy lokalizację pojazdu. Za jej pomocą można nawet uruchomić silnik. Wydaje się oczywiste, że tego typu aplikacja powinna posiadać wysoki poziom zabezpieczeń.
Jest jednak inaczej. Jak zauważa XSolve Tesla nie przewidziała opcji dwuetapowej weryfikacji.
Zabezpieczenie, które można włączyć w przypadku wielu serwisów - od platformy z grami Stream po Gmaila czy Facebooka, w aplikacji Tesli nie jest dostępne nawet jako opcja.
Tesla cię nie ostrzeże
Z brakiem dodatkowej weryfikacji logowania wiążą się dwie inne potencjalnie niebezpieczne cechy aplikacji. Tesla nie alarmuje użytkownika, kiedy dostęp do jego konta zostaje osiągnięty za pomocą nowego urządzenia. Jeśli ktoś przejmie hasło do aplikacji może się na niej logować za pomocą dowolnego sprzętu.
To jednak nie wszystko. Aplikacja Tesli nie alarmuje użytkownika nawet wtedy, gdy logowanie następuje z niecodziennych lokalizacji. Eksperci XSolve w ramach testów logowali się z miejsc oddalonych od siebie od kilkaset kilometrów. Właściciel pojazdu nie miał o tym pojęcia, nie widział żadnego ostrzeżenia, ani komunikatu.
Jedną z największych wad aplikacji Tesli jest jednak brak powiadomienia o zmianie hasła.
Problemów, które XSolve analizuje jest jeszcze więcej dlatego warto obejrzeć powyższe nagranie, które porusza też kwestię aplikacji zewnętrznych.
Dlaczego to niebezpieczne?
Brak zabezpieczeń w aplikacji Tesli bardziej świadomym użytkownikom może wydawać się wręcz szokujący. Niesie ze sobą pewne ryzyko ataku na wielu poziomach. Przestępcy mogą uzyskać dostęp do konta ofiary i śledzić jego lokalizację planując kradzież. Przejęcie hasła ułatwia też zwykłą inwigilację - sprawdzanie gdzie dana osoba znajduje się w określonym czasie. W grę wchodzi też phishing czy wykorzystanie aplikacji Tesli do przejmowania kontroli nad innymi kontami czy aplikacjami.
O tym, że scenariusz ataku na inteligentny samochód może się ziścić informował portal Wired. W sieci pojawiają się bowiem ogłoszenia o kupnie i sprzedaży danych pochodzących ze zhakowanych aplikacji. Przestępcy robią użytek z danych takich jak VIN, szukają pojazdów aktywnych.
Jak rozwiązać problem?
Eksperci XSolve postanowili nie ograniczać się jedynie do krytyki. Poszli o krok dalej i zaproponowali zmiany w aplikacji Tesli. Na wizualizacjach, które stworzyli, widać, że informowanie użytkownika o tym, że ktoś zalogował się na jego konto za pomocą innej maszyny można zrobić w sposób estetyczny i czytelny.
Przeglądanie urządzeń, za pomocą możliwy jest dostęp do konta - a w raz z nim do samochodu - również nie wydaje się skomplikowany.
Korzystanie z aplikacji zewnętrznych, takich, które łączą się z aplikacją Tesli, również mogłoby być znacznie bezpieczniejsze. Wystarczy wykorzystać będący standardem w branży mechanizm OAuth 2.0 i odpowiednio zaprojektować interfejs. Jak widać na poniższym przykładzie dzięki takiej zmianie użytkownik Tesli miałby większą świadomość tego co poszczególne aplikacje zewnętrzne mogą robić, do czego mają dostęp.
Czytaj też: Tesla, gigant, który dla niektórych jest piramidą. Jak jest naprawdę?
Jak czytamy na blogu XSolve prezes firmy, Piotr Majchrzak, prywatnie wielki fan Tesli, proponuje stworzenie odpowiednio zabezpieczonej aplikacji za darmo. Elon Musk powinien tej rady posłuchać i wprowadzić zmiany. Cyberprzestępcy niejednokrotnie udowodnili, że są w stanie wykorzystać każdą lukę w bezpieczeństwie. Niski poziom w aplikacji Tesli wydaje się wręcz zaproszeniem dla hakerów.
Piotr Majchrzak jest wielkim fanem Tesli i proponuje stworzenie odpowiednio zabezpieczonej aplikacji za darmo
***
