टेस्ला की नई हैक चोरों को 10 सेकंड में कारों को अनलॉक करने और चोरी करने की अनुमति देती है
सामग्री
एक प्रमुख सुरक्षा फर्म के एक शोधकर्ता ने वाहन के मालिक की मौजूदगी के बिना टेस्ला वाहन तक पहुंच प्राप्त करने का एक तरीका खोजा है। यह प्रथा चिंताजनक है क्योंकि यह चोरों को ब्लूटूथ एलई तकनीक का उपयोग करके कम से कम 10 सेकंड में एक कार को हाईजैक करने की अनुमति देता है।
एक सुरक्षा शोधकर्ता ने सफलतापूर्वक एक भेद्यता का फायदा उठाया जिसने उन्हें न केवल टेस्ला को अनलॉक करने की अनुमति दी, बल्कि कार की चाबियों में से एक को छूए बिना ड्राइव करने की भी अनुमति दी।
टेस्ला को कैसे हैक किया गया था?
रॉयटर्स के साथ साझा किए गए एक वीडियो में, साइबर सुरक्षा कंपनी एनसीसी ग्रुप के एक शोधकर्ता सुल्तान कासिम खान ने 2021 टेस्ला मॉडल वाई पर हमले का प्रदर्शन किया। इसके सार्वजनिक प्रकटीकरण में यह भी कहा गया है कि भेद्यता को 3 टेस्ला मॉडल 2020 पर सफलतापूर्वक लागू किया गया था। एक लैपटॉप से जुड़े रिले डिवाइस का उपयोग करके, एक हमलावर पीड़ित की कार और फोन के बीच की खाई को वायरलेस तरीके से पाट सकता है, यह सोचकर कि फोन कार की सीमा के भीतर है, जब यह सैकड़ों मील, फीट (या मील भी) हो सकता है। ) दूर। ) उससे।
ब्लूटूथ लो एनर्जी की मूल बातें तोड़ना
यदि हमले का यह तरीका आपको परिचित लगता है, तो यह होना चाहिए। रोलिंग कोड प्रमाणीकरण कुंजी फ़ॉब्स का उपयोग करने वाले वाहन टेस्ला के समान हमलों को रिले करने के लिए अतिसंवेदनशील होते हैं जिनका उपयोग खान करते थे। एक पारंपरिक कुंजी फ़ॉब का उपयोग करते हुए, स्कैमर्स की एक जोड़ी कार के निष्क्रिय बिना चाबी के पूछताछ संकेतों को . हालांकि, यह ब्लूटूथ लो एनर्जी (बीएलई) आधारित हमला कुछ चोरों द्वारा या किसी ऐसे व्यक्ति द्वारा किया जा सकता है जो एक कॉफी शॉप की तरह मालिक को कहीं इंटरनेट से जुड़ा एक छोटा रिले रखता है। एक बार जब पहले से न सोचा मालिक रिले की सीमा के भीतर होता है, तो हमलावर को भगाने में केवल कुछ सेकंड (खान के अनुसार 10 सेकंड) लगते हैं।
हमने देश भर में कई कार चोरी के मामलों में रिले हमलों का इस्तेमाल देखा है। यह नया अटैक वेक्टर टेस्ला कार को यह सोचने के लिए रेंज एक्सटेंशन का भी उपयोग करता है कि फोन या कुंजी फोब सीमा के भीतर है। हालांकि, एक पारंपरिक कार कुंजी फोब का उपयोग करने के बजाय, यह विशेष हमला पीड़ित के मोबाइल फोन या बीएलई-सक्षम टेस्ला कुंजी फोब्स को लक्षित करता है जो फोन के समान संचार तकनीक का उपयोग करते हैं।
टेस्ला वाहन इस प्रकार की संपर्क रहित तकनीक की चपेट में हैं।
किया गया विशिष्ट हमला बीएलई प्रोटोकॉल में निहित एक भेद्यता से संबंधित है जिसे टेस्ला अपने फोन के लिए मॉडल 3 और मॉडल वाई के लिए कुंजी और कुंजी फोब्स के रूप में उपयोग करता है। इसका मतलब यह है कि टेस्ला एक हमले वेक्टर के लिए कमजोर हैं, लेकिन वे दूर हैं एकमात्र लक्ष्य से। एनसीसी के अनुसार, घरेलू स्मार्ट लॉक, या लगभग कोई भी कनेक्टेड डिवाइस जो डिवाइस प्रॉक्सिमिटी डिटेक्शन मेथड के रूप में बीएलई का उपयोग करता है, प्रभावित होता है।
एनसीसी समूह ने एक बयान में कहा, "अनिवार्य रूप से, सिस्टम लोग अपनी कारों, घरों और व्यक्तिगत डेटा की सुरक्षा के लिए ब्लूटूथ संपर्क रहित प्रमाणीकरण तंत्र का उपयोग करते हैं, जिसे कम लागत वाले, ऑफ-द-शेल्फ हार्डवेयर से आसानी से हैक किया जा सकता है।" "यह अध्ययन प्रौद्योगिकी के दुरुपयोग के खतरों को दिखाता है, खासकर जब सुरक्षा मुद्दों की बात आती है।"
फोर्ड और लिंकन, बीएमडब्ल्यू, किआ और हुंडई जैसे अन्य ब्रांड भी इन हैक्स से प्रभावित हो सकते हैं।
शायद इससे भी अधिक समस्या यह है कि यह संचार प्रोटोकॉल पर हमला है न कि कार के ऑपरेटिंग सिस्टम में कोई विशिष्ट बग। कोई भी वाहन जो फोन के लिए बीएलई का उपयोग कुंजी के रूप में करता है (जैसे कि कुछ फोर्ड और लिंकन वाहन) पर हमला होने की संभावना है। सैद्धांतिक रूप से, इस प्रकार का हमला उन कंपनियों के खिलाफ भी सफल हो सकता है जो अपने फोन के लिए नियर-फील्ड कम्युनिकेशन (NFC) का उपयोग एक प्रमुख विशेषता के रूप में करते हैं, जैसे कि बीएमडब्ल्यू, हुंडई और किआ, हालांकि यह अभी तक हार्डवेयर से परे साबित नहीं हुआ है। और हमला वेक्टर, एनएफसी में इस तरह के हमले को अंजाम देने के लिए उन्हें अलग होना चाहिए।
टेस्ला के पास ड्राइविंग के लिए पिन लाभ है
2018 में, टेस्ला ने "पिन-टू-ड्राइव" नामक एक फीचर पेश किया, जो सक्षम होने पर, चोरी को रोकने के लिए सुरक्षा की एक बहु-कारक परत के रूप में कार्य करता है। इस प्रकार, भले ही यह हमला जंगल में किसी अनसुने शिकार पर किया गया हो, फिर भी हमलावर को अपने वाहन में ड्राइव करने के लिए वाहन के अद्वितीय पिन को जानना होगा।
**********
:
