- 해커가 Tesla를 훔칠 수 있는 새로운 방법을 발견했습니다.
- 연구원들은 소유자의 로그인 정보를 훔치고 새로운 휴대폰 키를 설정하기 위해 가짜 테슬라 와이파이 네트워크를 만들었습니다.
- 연구팀은 이전에 첨단 기술의 테슬라에서 다른 해킹 취약점을 발견한 바 있습니다.
테슬라를 소유하고 있다면 테슬라 충전소의 WiFi 네트워크에 로그인할 때 각별히 주의해야 할 것입니다.
의 보안 연구원 토미 마이스크와 탈랄 하즈 바크리는 목요일에 해커가 영리한 소셜 엔지니어링 트릭을 사용하여 자동차를 얼마나 쉽게 탈취할 수 있는지 설명하는 YouTube 동영상을 게시했습니다.
작동 방식은 다음과 같습니다.
Mysk의 동영상에 따르면 전 세계에 5만 개가 넘는 많은 Tesla 충전소에서는 일반적으로 Tesla 소유자가 차량 충전을 기다리는 동안 로그인하여 사용할 수 있는 "Tesla 게스트"라는 WiFi 네트워크를 제공합니다.
연구원들은 169달러의 간단한 해킹 도구인 Flipper Zero라는 장치를 사용하여 자체 "Tesla 게스트" WiFi 네트워크를 만들었습니다. 피해자가 네트워크에 액세스하려고 하면 해커가 만든 가짜 Tesla 로그인 페이지로 이동한 다음 복제된 사이트에서 직접 사용자 이름, 비밀번호, 2단계 인증 코드를 훔칩니다.
마이스크는 플리퍼 제로를 사용하여 자체 WiFi 네트워크를 설정했지만, 이 과정은 라즈베리 파이, 노트북 또는 휴대폰과 같은 거의 모든 무선 디바이스로도 수행할 수 있다고 마이스크는 동영상에서 설명했습니다.
해커가 소유자의 Tesla 계정에 대한 자격 증명을 훔치면 이를 사용하여 실제 Tesla 앱에 로그인할 수 있지만 2FA 코드가 만료되기 전에 빨리 로그인해야 한다고 마이스크는 동영상에서 설명합니다.
Tesla 차량의 독특한 기능 중 하나는 소유자가 실제 키 카드 없이도 휴대폰을 디지털 키로 사용하여 차량의 잠금을 해제할 수 있다는 점입니다.
차량 소유자의 자격 증명으로 앱에 로그인한 연구원들은 주차된 차량에서 몇 피트 떨어진 곳에 새 휴대폰 키를 설정했습니다.
해커는 그 자리에서 차를 훔칠 필요도 없이 앱에서 Tesla의 위치를 추적하여 나중에 차를 훔칠 수 있었습니다.
마이스크는 의심하지 않는 테슬라 소유자는 새 휴대폰 키가 설정되어도 알림을 받지 못한다고 말했습니다. 또한 Tesla Model 3 사용 설명서에는 새 휴대폰 키를 설정하려면 실제 카드가 필요하다고 나와 있지만, 동영상에 따르면 그렇지 않다고 마이스크는 밝혔습니다.
"즉, 이메일과 비밀번호가 유출되면 소유자가 Tesla 차량을 잃어버릴 수 있다는 뜻입니다. 이건 말도 안 되는 일입니다."라고 토미 마이스크는 기즈모도에 말했습니다. "피싱과 소셜 엔지니어링 공격은 오늘날 매우 흔하며, 특히 AI 기술이 발전함에 따라 책임 있는 기업은 위협 모델에 이러한 위험을 고려해야 합니다."
마이스크가 이 문제를 테슬라에 보고했을 때 테슬라는 조사 결과 문제가 되지 않는다고 답했다고 마이스크는 동영상에서 말했습니다.
테슬라는 비즈니스 인사이더의 논평 요청에 응답하지 않았습니다.
토미 마이스크는 자신의 차량에서 이 방법을 여러 번 테스트했으며 심지어 이전에 차량에 페어링된 적이 없는 리셋 아이폰을 사용했다고 말했다고 기즈모도는 보도했습니다. 마이스크는 이 방법이 매번 효과가 있었다고 주장했습니다.
마이스크는 연구 목적으로만 실험을 진행했으며 아무도 차를 훔쳐서는 안 된다고 말했습니다(저희도 동의합니다).
동영상 말미에 마이스크는 테슬라가 물리적 키 카드 인증을 의무화하고 새 휴대폰 키가 생성될 때 소유자에게 알리면 이 문제를 해결할 수 있다고 말했습니다.
정통한 연구자들이 비교적 간단한 방법으로 테슬라를 해킹한 것은 이번이 처음이 아닙니다.
2022년에 19세의 한 남성이 전 세계 25대의 테슬라를 해킹했다고 밝혔으며(특정 취약점은 이후 수정되었지만), 그해 말에는 한 보안 회사가 수백 마일 떨어진 곳에서 테슬라를 해킹하는 또 다른 방법을 발견했습니다.