david columbo um especialista em segurança da informação de apenas 19 anos conseguiu obter o controle de 25 carros elétricos Tesla de 13 países diferente, graças a vulnerabilidade de alguns aplicativos de terceiros que pode ser instalado usando uma API não oficial do fabricante. Colombo anunciou o que havia conseguido via Twitter com a intenção de que Tesla estava ciente disso e resolveu o problema.
o falha de software ele permite o acesso às contas do proprietário para que, embora os carros não possam ser dirigidos remotamente, eles possam ser iniciados, destravar suas portas e janelas e desativar seus sistemas de segurança. Além disso, o Colombo pode saber a localização exata de cada carro, verificar se o motorista está presente no carro e ligar os sistemas de som e as luzes.
O alemão de 19 anos se autodenomina um especialista em tecnologia da informação e não quis divulgar os detalhes exatos da vulnerabilidade que havia encontrado no software para não dar pistas a outros hackers. No entanto, através do tópico aberto no Twitter, ele especificou que o problema não está no software da Tesla, mas em aplicativos de terceiros, então apenas um pequeno número de proprietários pode ser afetado por ele. Para aceder aos carros elétricos, a Colombo tem acesso às suas contas, permitindo-lhes Permite-lhe iniciar sessão na aplicação Tesla e obter algum controle sobre os veículos.
Portanto, agora tenho controle remoto total de mais de 20 Teslas em 10 países e parece não haver como encontrar os proprietários e denunciá-los…
—David Colombo (@david_colombo_) 10 de janeiro de 2022
Em entrevista com boomberg , Colombo afirma que em nenhum momento conseguiu acessar para controlar carros elétricos remotamente, mas conseguiu realizar algumas ações que poderiam causar problemas de segurança durante a condução. Ele também foi capaz de destrancar os carros e desativar os alarmes e sistemas de vigilância para, teoricamente, seria possível roubá-los.
tesla tem um protocolo para relatar vulnerabilidades de segurança em seus carros elétricos para que os proprietários possam registrar seus veículos para teste, sujeito à aprovação prévia da Tesla. Cada relatório, verificado por seus especialistas, é recompensado financeiramente com um valor que pode chegar até $ 15.000.
Colombo tem estado em contacto com a equipa de segurança da Tesla, que garante que já está a estudar o problema e que o contactarão com qualquer novidade. A empresa não quis comentar o assunto à imprensa.
Aplicativos de terceiros da Tesla
Precisamente muitos proprietários que usam aplicativos de terceiros descobriram que estes não funcionaram por alguns dias já que Tesla parece ter revogado muitos tokens de login. O fabricante não possui uma loja para baixar aplicativos, mas existe uma API não oficial que permitiu a existência de aplicativos de terceiros. Isso permite adicionar funções adicionais não nativas, como registrar viagens e sessões de carregamento ou gerar relatórios sobre o estado da bateria.
Para que esses aplicativos possam acessar os dados do proprietário, eles precisam ter o Informações de login da conta Tesla ou com um token de autenticação associado a ele, que são os que pararam de funcionar.
Aparentemente esta circunstância é uma consequência da ação de Colombo e das medidas que a Tesla tomou para fechar a vulnerabilidade que permite acesso ao seu aplicativo remotamente usando esses tokens. Na verdade, para os proprietários, a solução é tão simples quanto acessar os aplicativos e inserir novamente as informações de login.