Tesla powinna wprowadzić zmiany w aplikacji. Poziom zabezpieczeń alarmująco niski. Przestępcy mogą śledzić właścicieli

Robert Kędzierski
Tesla uchodzi za firmę nowatorską i narzucającą trendy. Eksperci z firmy XSolve postanowili sprawdzić, czy ten wizerunek dotyczy również bezpieczeństwa. Przeanalizowali pod tym względem aplikację Tesli służącą do zarządzania samochodem. I doszli do wniosków, z których Elon Musk powinien wyciągnąć wnioski. I to jak najszybciej.

Elon Musk bez wątpienia jest jednym z najbardziej liczących się innowatorów. Tymczasem aplikacja, która służy do komunikowania się z samochodami Tesli ma poważne braki w poziomie zabezpieczeń - wynika z analiz firmy XSolve specjalizującej się w rozwiązaniach IT. 

Aplikacja daleka od standardów

Każdy właściciel Tesli może zainstalować aplikację, która pomaga zarządzać samochodem. Pozwala ona sprawdzić stan naładowania akumulatora czy lokalizację pojazdu. Za jej pomocą można nawet uruchomić silnik. Wydaje się oczywiste, że tego typu aplikacja powinna posiadać wysoki poziom zabezpieczeń.

XSolve testuje aplikację TesliXSolve testuje aplikację Tesli Fot. Xsolve /YouTube (https://www.youtube.com/watch?v=PVwu97tbkQQ)

Jest jednak inaczej. Jak zauważa XSolve Tesla nie przewidziała opcji dwuetapowej weryfikacji.

Zabezpieczenie, które można włączyć w przypadku wielu serwisów - od platformy z grami Stream po Gmaila czy Facebooka, w aplikacji Tesli nie jest dostępne nawet jako opcja. 

Tesla cię nie ostrzeże

Z brakiem dodatkowej weryfikacji logowania wiążą się dwie inne potencjalnie niebezpieczne cechy aplikacji. Tesla nie alarmuje użytkownika, kiedy dostęp do jego konta zostaje osiągnięty za pomocą nowego urządzenia. Jeśli ktoś przejmie hasło do aplikacji może się na niej logować za pomocą dowolnego sprzętu.

To jednak nie wszystko. Aplikacja Tesli nie alarmuje użytkownika nawet wtedy, gdy logowanie następuje z niecodziennych lokalizacji. Eksperci XSolve w ramach testów logowali się z miejsc oddalonych od siebie od kilkaset kilometrów. Właściciel pojazdu nie miał o tym pojęcia, nie widział żadnego ostrzeżenia, ani komunikatu. 

 

Jedną z największych wad aplikacji Tesli jest jednak brak powiadomienia o zmianie hasła. 

Problemów, które XSolve analizuje jest jeszcze więcej dlatego warto obejrzeć powyższe nagranie, które porusza też kwestię aplikacji zewnętrznych.

Dlaczego to niebezpieczne?

Brak zabezpieczeń w aplikacji Tesli bardziej świadomym użytkownikom może wydawać się wręcz szokujący. Niesie ze sobą pewne ryzyko ataku na wielu poziomach. Przestępcy mogą uzyskać dostęp do konta ofiary i śledzić jego lokalizację planując kradzież. Przejęcie hasła ułatwia też zwykłą inwigilację - sprawdzanie gdzie dana osoba znajduje się w określonym czasie. W grę wchodzi też phishing czy wykorzystanie aplikacji Tesli do przejmowania kontroli nad innymi kontami czy aplikacjami. 

Ogłoszenie cyberprzestępcy - handel danymi pochodzącymi z samochodów podłączonych do internetuOgłoszenie cyberprzestępcy - handel danymi pochodzącymi z samochodów podłączonych do internetu Fot. za Wired

O tym, że scenariusz ataku na inteligentny samochód może się ziścić informował portal Wired. W sieci pojawiają się bowiem ogłoszenia o kupnie i sprzedaży danych pochodzących ze zhakowanych aplikacji. Przestępcy robią użytek z danych takich jak VIN, szukają pojazdów aktywnych.

Jak rozwiązać problem?

Eksperci XSolve postanowili nie ograniczać się jedynie do krytyki. Poszli o krok dalej i zaproponowali zmiany w aplikacji Tesli. Na wizualizacjach, które stworzyli, widać, że informowanie użytkownika o tym, że ktoś zalogował się na jego konto za pomocą innej maszyny można zrobić w sposób estetyczny i czytelny.

XSolve proponuje zmiany w aplikacji TesliXSolve proponuje zmiany w aplikacji Tesli Źródło: Xsolve

Przeglądanie urządzeń, za pomocą możliwy jest dostęp do konta - a w raz z nim do samochodu - również nie wydaje się skomplikowany. 

XSolve proponuje zmiany w aplikacji TesliXSolve proponuje zmiany w aplikacji Tesli Źródlo: Xsolve

Korzystanie z aplikacji zewnętrznych, takich, które łączą się z aplikacją Tesli, również mogłoby być znacznie bezpieczniejsze. Wystarczy wykorzystać będący standardem w branży mechanizm OAuth 2.0 i odpowiednio zaprojektować interfejs. Jak widać na poniższym przykładzie dzięki takiej zmianie użytkownik Tesli miałby większą świadomość tego co poszczególne aplikacje zewnętrzne mogą robić, do czego mają dostęp. 

Czytaj też: Tesla, gigant, który dla niektórych jest piramidą. Jak jest naprawdę?

XSolve proponuje zmiany w aplikacji TesliXSolve proponuje zmiany w aplikacji Tesli Fot. XSolve

Jak czytamy na blogu XSolve prezes firmy, Piotr Majchrzak, prywatnie wielki fan Tesli,  proponuje stworzenie odpowiednio zabezpieczonej aplikacji za darmo. Elon Musk powinien tej rady posłuchać i wprowadzić zmiany. Cyberprzestępcy niejednokrotnie udowodnili, że są w stanie wykorzystać każdą lukę w bezpieczeństwie. Niski poziom w aplikacji Tesli wydaje się wręcz zaproszeniem dla hakerów. 

Piotr Majchrzak jest wielkim fanem Tesli i proponuje stworzenie odpowiednio zabezpieczonej aplikacji za darmo

***

Tesle to samochody przyszłości - zobacz co potrafią!