Per rubare una Tesla non ci vuole un grande sforzo, e a quanto pare nemmeno per tante altre auto odierne. I veicoli in questione sono quelli abbinati a una specifica app, come le Tesla appunto, e a dimostrarne la debolezza sono stati gli esperti della società norvegese Promon.
La tecnica di attacco è relativamente semplice: il potenziale ladro d'auto imposta una rete Wi-Fi in un luogo specifico - i locali vicino ai Tesla Supercharger sono degli ottimi candidati. La vittima parcheggia per caricare l'auto, vede la rete e si collega con lo smartphone - cadere in questa trappola è abbastanza semplice se l'hacker ha creato una rete che si chiama come la caffetteria o con qualche altro nome credibile.
Appena si collega la vittima vede un annuncio invitante; nell'esempio, un hamburger gratis se si installa una certa app, con collegamento diretto a Google Play. L'app in questione in realtà è malware e serve per rubare i dati di accesso all'account Tesla.
Leggi anche Jeep Cherokee hackerata in autostrada a 110 Km/h via Internet
È importante sottolineare che i ricercatori hanno pubblicato l'app su Google Play, e quindi non è necessario che la vittima autorizzi l'installazione da fonti sconosciute. L'attacco usa la "scalata dei privilegi" in Android, ed è efficace fino alla versione 5.1, ma ne esistono altre versioni che funzionano fino ad Android 6. Nell'esempio il telefono della vittima era un Samsung Galaxy A5 (2014) senza root.
Leggi anche Fiat Chrysler apre agli hacker per fare auto più sicure
Fino a qui sono tutti vulnerabili, ma a questo punto emerge la debolezza specifica di Tesla. I ricercatori spiegano infatti che l'app di quest'azienda non oppone alcuna resistenza: una volta sottratti i dati si accede all'account come se nulla fosse, e con quello è possibile localizzare l'auto, seguirla, aprirla, rubarla.
Questo accade perché "il token OAuth è archiviato come testo semplice - non è stato fatto alcun tentativo di crittografarlo o proteggerlo in altro modo. Ottenere questa informazione permette di avere la posizione dell'auto, di seguirla e di sbloccarla. Rubare l'auto richiede anche username e password, che sono stati molto facili da ottenere visto che l'applicazione non ha capito di aver subito un attacco".
I ricercatori sottolineano inoltre che l'attacco realizzato ha scopo dimostrativo, e che sono possibili altre tecniche per ottenere lo stesso risultato, eventualmente anche su marche diverse da Tesla - che appunto è stata scelta perché ha reso un po' più facile il lavoro dimostrativo. Per esempio si potrebbe spingere la vittima a installare una tastiera alternativa o un qualche tipo di keylogger.
"Se Tesla avesse seguito le best practices della sicurezza (come raccomandato dalla OWASP), compresa l'inclusione di capacità di autodifesa nell'app, sarebbero state necessarie competenze tecniche molto più elevate e uno sforzo molto più grande per eseguire un attacco simile", conclude Lars Lunde Birkeland sul blog di Promon.