Автомобиль можно угнать, узнав пароль владельца

Седан Tesla Model S – пожалуй, один из самых продвинутых автомобилей в настоящее время. Он настолько технологически совершенен, что владелец машины может зарегистрироваться на сайте teslamotors.com и получить возможность удаленно управлять своим автомобилем.

Сайт требует ввода пароля длиной от шести символов с как минимум одной буквой и одной цифрой. После регистрации владелец может скачать мобильное приложение для iOS, показывающее координаты автомобиля, процент зарядки батарей, а также позволяющее заблокировать или разблокировать машину.

Проблема состоит в том, что такой шестисимвольный пароль от Tesla Model S совсем не сложно подобрать брутфорсом. Как ни странно, на официальном сайте Tesla отсутствует защита от подобного типа атак, то есть нет задержки между попытками ввода пароля, пишет исследователь Нитеш Дханьяни. Помимо брутфорса, пароль также можно добыть с помощью фишинга. Затем злоумышленник способен без труда определить местоположение автомобиля через Tesla REST API.

Нитеш Дханьяни говорит, что защита автомобиля паролем – весьма пагубная практика, так как история показывает, что парольные базы различных компаний часто попадают в руки хакеров. В случае с Tesla это может иметь катастрофические последствия. К тому же доступ к базе имеют работники компании Tesla, а среди них вполне может затесаться недобросовестный или недовольный условиями работы сотрудник.

Источник: kv.by