Dos investigadores de ciberseguridad descubrieron fallas remotas de clic cero en un vehículo de Tesla.
Los investigadores Ralf Philipp Weinmann y Benedikt Schmotzle explotaron fallas de un Tesla Model X, a través de estas vulnerabilidades y con la ayuda de un dron DJI Mavic 2 equipado con un dongle WiFi, lograron abrir las puertas del automóvil.
Los especialistas en seguridad llamaron a la falla “TBONE”
Las vulnerabilidades se encuentran en un componente de software de código abierto, utilizado en los autos Tesla, llamado “ConnMan”. La amenaza resulta crítica, ya que los ciberdelincuentes podrían abrir las puertas de un automóvil Tesla usando un dron, sin contar con otras amenazas que puede aprovechar de igual manera.
Los investigadores explotaron esta falla con la finalidad de “comprometer los coches aparcados y controlar sus sistemas de información y entrenamiento a través de WiFi”.
El TBONE no necesita la interacción del usuario y es fácil de entregar la carga útil a los autos estacionados.
Weinmann explicó que un exploit de escalada de privilegios como CVE-2021-3347 sumado a TBONE les permitiría cargar un nuevo firmware de WiFi en el automóvil Tesla, convirtiéndolo en un punto de acceso que podría usarse para explotar otros automóviles Tesla que entren en la proximidad del coche de la víctima. Sin embargo, no quieren convertir este exploit en un gusano.
Los atacantes remotos podrían aprovechar las vulnerabilidades para comprometer los automóviles estacionados, obtener el control del sistema de información y entretenimiento a través de WIFI, bloquear / desbloquear el maletero y las puertas, modificar las posiciones de los asientos y los modos de dirección / aceleración, y cambiar la configuración y la temperatura del aire acondicionado. Sin embargo, este ataque no permite el control de conducción del automóvil
A pesar de lo alarmante que resulta esa falla, Tesla no ha dado ninguna respuesta referente al tema.
Fuente:
Redacción propia.