entsprechend Es fühlt sich an wie das halbe InternetDie Flipper Null Er Böses Werkzeug Das ermöglicht Abscheuliche Magie bekannt als „der PiratIn letzter Zeit kursierten Artikel, in denen behauptet wurde, dass der Flipper Ermöglicht Hackern den Diebstahl von Teslas Direkt vor ihrer Nase Gute, fleißige amerikanische Besitzer – Ein Verbrechen, das es auf jeden Fall verdient, in Den Haag verhandelt zu werden.
Nur dass das nicht wirklich stimmt. Obwohl der „Hack“ real ist – wenn auch nicht so, wie Sie denken – trägt Flipper keine Schuld an der Situation. Es hilft böswilligen Akteuren nicht nur nicht wirklich, es macht ihnen auch das Leben viel schwieriger, als wenn sie nur das Gleiche auf einem Laptop tun.
Erster Teil: Angriff
Lassen Sie uns zunächst über den Angriff selbst sprechen. Das kann Ihnen jeder Informatik-Sicherheitsexperte im ersten Jahr – so wie ich es einmal war – sagen Der schwächste Teil eines jeden Computersystems ist der Fleischbeutel, der es verwendetDie intelligentesten Angriffe nutzen diese Schwachstelle anstelle irgendeiner Art von Code aus. Dieser Tesla-Angriff ist einer dieser Angriffe und wird als Phishing-Angriff bezeichnet.
Ein Phishing-Angriff ist ein Angriff, bei dem der Angreifer den Benutzer um Informationen bittet und dabei vorgibt, jemand zu sein, der eine Antwort verdient. Wenn Sie eine E-Mail erhalten, die Sie vor verdächtigen Aktivitäten in Ihrem Gmail-Konto warnt, Sie dann aber auf eine gefälschte Anmeldeseite weiterleitet, in der Hoffnung, dass Sie Ihren echten Benutzernamen und Ihr Passwort eingeben, handelt es sich um Phishing.
Bei diesem speziellen Angriff sitzen böswillige Akteure auf der Tesla Supercharger-Website und eröffnen ein öffentliches WLAN-Netzwerk namens „Tesla Guest“. Wenn sich ein Tesla-Besitzer verbindet, wird er zu einer Anmeldeseite weitergeleitet, auf der er nach seinem Benutzernamen und Passwort für seine Tesla-App gefragt wird. Nach der Eingabe fordert das gefälschte Netzwerk einen Zwei-Faktor-Authentifizierungscode an und alle drei Informationen werden an den Angreifer übergeben.
Der Angreifer muss dann die Anmeldeinformationen dieses Benutzers in die ursprüngliche Tesla-App eingeben, bevor der Zwei-Faktor-Passcode abläuft, um Zugriff auf das Konto des Tesla-Besitzers zu erhalten – und auf alle mit dem Auto verbundenen Funktionen. Zu diesen Funktionen gehört die Verwendung eines Telefons – etwa desjenigen, bei dem sich der Angreifer gerade angemeldet hat – als Schlüssel, mit dem man theoretisch einen Tesla aufschließen und wegfahren könnte. Kinderleicht, wenn der Kuchen nicht länger als 30 Sekunden im Ofen bleiben kann, bevor er anbrennt und knusprig wird.
Zweiter Teil: Zero Fin
In der Demo wird dieser Angriff mit Flipper Zero durchgeführt, um ein gefälschtes WLAN-Netzwerk zu erstellen. Dies ist die Funktion von Flipper, da es ein WLAN-Netzwerk erstellen kann, ohne dass eine tatsächliche Internetverbindung dahinter steckt, aber das Gleiche gilt auch für viele drahtlose Geräte.
Raspberry Pis, Laptops, Mobiltelefone, GoPro-Kameras, Heimkino-Lautsprecher im Wohnzimmer, alle diese Geräte können ein WLAN-Netzwerk aufbauen. Es ist wahr, dass viele von ihnen nicht viel Kontrolle über dieses Netzwerk bieten – obwohl ich sicher bin, dass es Programme gibt, die sich dem Hacken einer GoPro oder Soundbar widmen –, aber viele davon tun. Ein Laptop kann diese Aufgabe genauso einfach erledigen wie jeder Flipper.
Tatsächlich ist es sogar noch einfacher, wenn man bedenkt, dass Laptops ab Werk über integriertes WLAN verfügen. Flossen tun es trotz aller Kommunikationsmittel nicht – a WiFi-Entwicklungsboardzusammen mit der notwendigen Antenne, müssen separat erworben und hinzugefügt werden, bevor das Gerät tatsächlich die in der Demo gezeigten Funktionen ausführen kann.
Dritter Teil: Nichts davon ist sowieso wichtig
Und da ist wieder dieses Wort, Experimental-. Wie viele kürzlich veröffentlichte Schwachstellen ist dieser Angriff rein theoretischer Natur – er fand unter kontrollierten Bedingungen durch jemanden statt, der auf beiden Seiten des Angriffs saß, und nicht auf der Suche nach unerwarteten Opfern. Wenn ein Angriff nur in einem YouTube-Video existiert, das seinen Erfolg demonstriert, existiert er dann überhaupt?
Der Forscher Misk, der die Schwachstelle entdeckte, veröffentlichte sie, um Teslas Aufmerksamkeit zu erregen. Sie Graue Hüte — Sicher, sie haben eine Sicherheitslücke veröffentlicht, aber das Ziel bestand darin, Tesla davon in Kenntnis zu setzen Reparatur er sie. Insbesondere fordern sie einen stärkeren Schutz innerhalb der Tesla-App, um zu verhindern, dass böswillige Akteure ohne Wissen des Autobesitzers problemlos neue Telefonschlüssel erstellen.
Dieser „Hack“ ist kein Hack, nicht in der Art und Weise, wie die meisten Leute denken. Er ist nicht jemand, der Mantel und Sonnenbrille in einem dunklen Raum trägt, grünen Text in ein schwarzes Terminal tippt, um auf einen Großrechner zuzugreifen und … Verbrechen. Es ist Social Engineering – Herr Eddie Vedder aus der Buchhaltung ruft nach einem Stromstoß Norm in der Sicherheitsabteilung an, um die Telefonnummer auf dem Modem anzufordern, um dieses Projekt abzuschließen. Das ist zwar theoretisch möglich, aber es ist unwahrscheinlich, dass es gut geht nur so Dass der Angriff gelingt – und wenn ja, ist es mit ziemlicher Sicherheit nicht die Schuld von Flipper Zero.
„Professioneller Internet-Junkie. Bacon-Fanatiker. Freundlicher Gamer. Bierfreak. Analyst. Twitter-Fan.“
More Stories
Die besten Fähigkeiten in Stellar Blade werden zu Beginn des Spiels 2024 freigeschaltet
Berichten zufolge wird Apples iPad-Event „Let Loose“ auch eine Sonderveranstaltung in London beinhalten
Die Preise für Apple Vision Pro bei eBay machen mich traurig