Ajouter un commentaire

Une Tesla volée par un hack de son application Android

Par:
fredericmazue

lun, 28/11/2016 - 14:27

Pour attirer l'attention sur le manque de sécurité des applications mobiles des voitures Tesla, deux chercheurs en sécurité de la société Promon décrivent dans un billet de blog, vidéo de démonstration à l'appui, comment il est facile de voler une voiture Tesla via son application mobile.

Pour mémoire, en septembre dernier, des chercheurs de la société Keen Security avait déjà fait la démonstration du hack d'une tesla S, hack qui était possible simplement si le conducteur utilisait son navigateur à proximité d'une borne Wifi malveillante.

Cette fois le hack s'en prend à l'application Android de la voiture. Hack qui, une fois réussi, permet de localiser et suivre le véhicule, d'en ouvrir les portes et d'activer la conduite sans clés. Bref de voler la voiture.

Les applications mobiles des Tesla, expliquent les chercheurs, conservent un jeton OAuth pendant 90 jours. Ce jeton est stocké en clair dans un fichier dans le répertoire de l'application. Voler ce jeton suffit déjà pour localiser la voiture et en ouvrir les portes. Mais comme le conducteur doit de toutes façons saisir son nom d'utilisateur et son mot de passe pour conduire le véhicule sans clé, les chercheurs se focalisent sur le vol de ceux-ci dans le billet.

Le principe du hack est tout simple. Il s'agit que le conducteur utilise une application 'customisée' capable d'envoyer les nom d'utilisateur et mot de passe au hacker. Pour installer une telle application sur le smartphone de la victime, les attaquant créent une borne Wifi malveillante (encore!) qui redirige vers un portail captif affichant une publicité pour les possesseurs de Tesla.  Par exemple : Tesla vous offre un repas dans le restaurant d'à côté. Un clic sur la publicité redirige sur le Play Store à partir duquel l'application customisée est installée. Une application qui contient en outre des rootkits comme Towelroot ou Kingroot. C'est terminé, le vers est dans le fruit.

Un vol facile avec, comme bien souvent, la complicité involontaire de l'utilisateur. Les utilisateurs étant souvent le maillon faible dans ces circonstances, les chercheurs concluent que l'application mobile des Tesla n'est pas sécurisée comme elle devrait l'être. Selon eux elle devrait :

  • Détecter si elle a été modifiée
  • Ne pas stocker le jeton OAuth en texte clair
  • L'authentification devrait être une authentification à deux facteurs
  • L'application devrait intégrer son propre clavier, de façon à être protégée de clavier de provenances tierces, pouvant contenir des keyloggers
  • L'application devrait être protégée contre le reverse engineering

Plus d'information sur les formats de texte

Filtered HTML

Plain text

CAPTCHA
Cette question permet de vérifier que vous n'êtes pas un robot spammeur :-) 
 Y   Y  X   X  BBBB   ZZZZZ  K  K 
  Y Y    X X   B   B     Z   K K  
   Y      X    BBBB     Z    KK   
   Y     X X   B   B   Z     K K  
   Y    X   X  BBBB   ZZZZZ  K  K