Dos investigadores encontraron una manera de utilizar la ingeniería social para potencialmente robar Teslas estacionados en estaciones de carga.
Si eres dueño de un Tesla, es posible que desees tener especial cuidado al iniciar sesión en las redes WiFi en las estaciones de carga de Tesla.
Los investigadores de seguridad Tommy Mysk y Talal Haj Bakry de Mysk Inc. publicaron un video en YouTube explicando lo fácil que puede ser para los hackers llevarse tu coche usando un inteligente truco de ingeniería social.
En el video de Mysk, se menciona que muchas estaciones de carga de Tesla ofrecen una red WiFi llamada «Tesla Guest» a la que los propietarios de un Tesla pueden conectarse y utilizar mientras esperan a que su auto se cargue.
Utilizando un dispositivo llamado Flipper Zero, los investigadores crearon su propia red WiFi «Tesla Guest». Cuando una víctima intenta acceder a la red, son dirigidos a una página falsa de inicio de sesión de Tesla creada por los hackers, quienes roban su nombre de usuario, contraseña y código de autenticación de dos factores directamente desde el sitio duplicado.
Una vez que los hackers hayan robado las credenciales de la cuenta de Tesla del propietario, pueden usarlas para iniciar sesión en la aplicación real de Tesla y configurar una nueva llave de teléfono mientras se mantienen a pocos metros de distancia del coche estacionado.
Mysk señaló que el propietario de un Tesla ni siquiera es notificado cuando se configura una nueva llave de teléfono. Aunque el manual del propietario del Tesla Model 3 indica que se requiere la tarjeta física para configurar una nueva llave de teléfono, Mysk encontró que esto no era necesario.
Una vez que se haya configurado la nueva llave de teléfono, los hackers podrían rastrear la ubicación del Tesla desde la aplicación y robarlo más tarde.
Mysk dijo que probó el método en su propio vehículo varias veces y funcionó cada vez. Aunque aclaró que la investigación se realizó únicamente con fines de investigación y que nadie debería robar autos.
Al final del video, Mysk sugirió que Tesla debería hacer obligatoria la autenticación de la tarjeta física y notificar a los propietarios cuando se cree una nueva llave de teléfono para solucionar este problema.
Este no es el primer caso en el que investigadores hábiles han encontrado formas relativamente simples de hackear Teslas. En el año 2022, un joven de 19 años dijo que había hackeado 25 Teslas en todo el mundo (aunque la vulnerabilidad específica se ha corregido desde entonces); más tarde ese año, una empresa de seguridad encontró otra forma de hackear Teslas desde cientos de kilómetros de distancia.
