
연구원들이 Tesla를 해킹하여 훔칠 수 있는 영리한 방법을 찾아냈습니다.
이 기사는 원래 Business Insider 에 게재되었습니다 .
Tesla를 소유하고 있다면 Tesla 충전소에서 Wi-Fi 네트워크에 로그인하는 데 더욱 주의를 기울이는 것이 좋습니다.
Mysk Inc.의 보안 연구원인 Tommy Mysk와 Talal Haj Bakry는 목요일에 해커가 영리한 사회 공학 수법을 사용하여 얼마나 쉽게 차량을 탈취할 수 있는지 설명하는 YouTube 동영상을 게시했습니다 .
작동 방식은 다음과 같습니다.
Mysk의 동영상에 따르면 전 세계에 50,000 개 이상의 Tesla 충전소가 있으며 일반적으로 Tesla 소유자가 자동차 충전을 기다리는 동안 로그인하여 사용할 수 있는 “Tesla Guest”라는 WiFi 네트워크를 제공합니다.
연구원들은 169달러짜리 간단한 해킹 도구 인 Flipper Zero라는 장치를 사용하여 자체 “Tesla Guest” WiFi 네트워크를 만들었습니다. 피해자가 네트워크에 액세스하려고 하면 해커가 만든 가짜 Tesla 로그인 페이지로 연결되며, 피해자는 복제 사이트에서 직접 사용자 이름, 비밀번호, 이중 인증 코드를 훔칩니다.
Mysk는 Flipper Zero를 사용하여 자체 WiFi 네트워크를 설정했지만 이 프로세스 단계는 Raspberry Pi, 노트북 또는 휴대폰과 같은 거의 모든 무선 장치에서도 수행할 수 있다고 Mysk는 비디오에서 말했습니다.
해커가 소유자의 Tesla 계정에 대한 자격 증명을 훔치고 나면 이를 사용하여 실제 Tesla 앱에 로그인할 수 있지만 2FA 코드가 만료되기 전에 빨리 로그인해야 한다고 Mysk는 동영상에서 설명합니다.
Tesla 차량의 독특한 기능 중 하나는 소유자가 실제 키 카드 없이도 휴대폰을 디지털 키로 사용하여 차량의 잠금을 해제할 수 있다는 것입니다.
소유자의 자격 증명으로 앱에 로그인한 후 연구원들은 주차된 차량에서 몇 피트 떨어진 곳에 머물면서 새로운 전화 키를 설정했습니다.
해커들은 그 자리에서 바로 차를 훔칠 필요조차 없습니다. 그들은 앱에서 Tesla의 위치를 추적하고 나중에 그것을 훔칠 수 있었습니다.
Mysk는 의심하지 않는 Tesla 소유자가 새 전화 키가 설정될 때 알림조차 받지 못한다고 말했습니다. 그리고 Tesla Model 3 사용 설명서에는 새 전화 키를 설정하려면 실제 카드가 필요하다고 명시되어 있지만 Mysk는 동영상에 따르면 그렇지 않다는 사실을 발견했습니다.
Tommy Mysk는 Gizmodo에 “이메일과 비밀번호가 유출되면 소유자가 Tesla 차량을 잃을 수 있다는 의미입니다. 이건 미친 짓입니다.”라고 말했습니다 . “오늘날 피싱 및 사회 공학 공격은 특히 AI 기술의 부상으로 인해 매우 흔해졌습니다. 따라서 책임 있는 기업은 위협 모델에서 이러한 위험을 고려해야 합니다.”
Mysk가 Tesla에 문제를 보고했을 때 회사는 조사한 결과 문제가 아니라고 결정했다고 동영상에서 Mysk가 말했습니다.
Tesla는 Business Insider의 논평 요청에 응답하지 않았습니다.
Tommy Mysk는 자신의 차량에서 이 방법을 여러 번 테스트했으며 심지어 이전에 차량과 페어링된 적이 없는 재설정 iPhone을 사용했다고 Gizmodo가 보도했습니다. Mysk는 매번 효과가 있다고 주장했습니다.
Mysk는 연구 목적으로만 실험을 수행했으며 누구도 자동차를 훔쳐서는 안 된다고 말했습니다(우리도 동의합니다).
비디오 끝에서 Mysk는 Tesla가 물리적 키 카드 인증을 의무화하고 새 전화 키가 생성되면 소유자에게 알리면 문제가 해결될 수 있다고 말했습니다.
숙련된 연구원들이 Tesla를 해킹하는 상대적으로 간단한 방법을 발견한 것은 이번이 처음이 아닙니다.
2022년에는 19세 소년이 전 세계 25대의 Tesla를 해킹했다고 말했습니다 (구체적인 취약점은 이후 수정되었습니다). 그해 말, 한 보안 회사는 수백 마일 떨어진 곳에서 Tesla를 해킹할 수 있는 또 다른 방법을 찾았습니다.