Peneliti keamanan melaporkan bahwa mereka menemukan cacat desain yang memungkinkan mereka membajak Tesla menggunakan Flipper Zero, a alat peretasan $169 yang kontroversial. Mitra Tommy Musk dan Talal Haj Bakry dari Mysk Inc. mengatakan serangan itu semudah menggesek informasi login pemilik Tesla, membuka aplikasi Tesla, dan pergi. Korban tidak akan menyangka bahwa mereka kehilangan kendaraan seharga $40.000. Mysk mengatakan eksploitasi tersebut memakan waktu beberapa menit, dan untuk membuktikan semuanya berhasil, dia mencuri mobilnya sendiri.
Masalahnya bukan “peretasan” dalam arti membobol perangkat lunak, melainkan serangan rekayasa sosial yang menipu pengguna agar menyerahkan informasi mereka. Dengan menggunakan Flipper, para peneliti menyiapkan jaringan WiFi yang disebut “Tesla Guest,” nama yang digunakan Tesla untuk jaringan tamunya di pusat layanan. Musk kemudian membuat website seperti halaman login Tesla.
Prosesnya sederhana. Dalam skenario ini, peretas dapat menyiarkan jaringan di dekat stasiun pengisian daya, tempat pengemudi yang bosan mungkin mencari hiburan. Korban terhubung ke jaringan WiFi dan memasukkan nama pengguna dan kata sandinya di situs Tesla palsu. Peretas kemudian menggunakan kredensial untuk masuk ke aplikasi Tesla yang sebenarnya, yang memicu kode otentikasi dua faktor. Korban memasukkan kode tersebut ke situs palsu, dan pencuri mendapatkan akses ke akun mereka. Setelah Anda masuk ke aplikasi Tesla, Anda dapat mengatur “kunci telepon” yang memungkinkan Anda membuka kunci dan mengontrol mobil melalui Bluetooth dengan ponsel cerdas. Dari sana, mobil itu milik Anda.
Anda dapat melihat demonstrasi serangan Mysk dalam video di bawah ini.
Berdasarkan MuskTesla tidak memberi tahu pengguna saat kunci baru dibuat, sehingga korban tidak akan tahu bahwa kunci tersebut telah disusupi. Mysk mengatakan orang-orang jahat juga tidak perlu langsung mencuri mobil tersebut, karena aplikasi tersebut menunjukkan lokasi fisik kendaraan tersebut. Pemilik Tesla dapat menyelesaikan pengisian daya mobilnya dan pergi berbelanja atau parkir di luar rumahnya. Pencuri hanya akan melihat lokasi mobil menggunakan aplikasi, lalu melenggang pada saat yang tepat dan pergi.
Artinya, jika email dan kata sandi bocor, pemilik bisa kehilangan kendaraan Tesla miliknya. Ini gila,” kata Tommy Mysk. “Serangan phishing dan rekayasa sosial sangat umum saat ini, terutama dengan munculnya teknologi AI, dan perusahaan yang bertanggung jawab harus memperhitungkan risiko tersebut dalam model ancaman mereka.”
Saat Anda membeli Tesla, perusahaan memberi Anda kartu kunci fisik untuk mobil tersebut. Itu Panduan pemilik Tesla Model 3 mengatakan “Kartu kunci digunakan untuk ‘mengautentikasi’ kunci telepon agar berfungsi dengan Model 3 dan untuk menambah atau menghapus kunci lainnya.” Namun, ketika Mysk mencoba eksploitasi ini, sepertinya itu tidak benar.
Menurut Mysk, dia menguji kerentanan tersebut beberapa kali dengan Tesla miliknya. Mysk mengatakan dia menggunakan iPhone yang baru direset yang belum pernah dipasangkan dengan mobilnya sebelumnya, dan dia memastikan tidak ada hubungan antara ponsel itu dan identitas aslinya melalui ID Apple atau alamat IP. Mysk mengatakan dia dapat membuat kunci telepon beberapa kali tanpa akses ke kartu kunci fisik Tesla.
Mysk mengatakan dia menghubungi Tesla melalui program pelaporan kerentanannya, namun perusahaan menjawab bahwa ini bukan masalah nyata. Dia membagikan salinan pertukaran tersebut dengan Gizmodo. “Kami telah menyelidiki dan menentukan bahwa ini adalah perilaku yang dimaksudkan,” kata Tesla dalam emailnya. “Bagian ‘Kunci Telepon’ di halaman manual pemilik yang Anda tautkan tidak menyebutkan perlunya kartu kunci untuk menambahkan kunci telepon.”
Tesla, yang biasanya mengabaikan pertanyaan dari media, tidak segera menanggapi permintaan komentar.
“Konfirmasi tim Keamanan Produk Tesla bahwa ini adalah ‘perilaku yang dimaksudkan’ adalah tidak masuk akal,” kata Mysk. “Desain untuk memasangkan kunci ponsel jelas dibuat sangat mudah dengan mengorbankan keamanan.”
Menurut Mysk, tampaknya kartu kunci fisik hanya diperlukan untuk “mengautentikasi” kunci telepon sebagai mekanisme pengaman kegagalan. Dalam pengujian yang dilakukan Mysk, dia mampu mengatur kunci telepon ketika dia berdiri di dekat atau duduk di dalam mobil. Jika jarak mobil terlalu jauh, proses penyiapan akan gagal, dan aplikasi meminta kartu kunci fisik. Namun selama dia berada di dekatnya, Mysk mengatakan dia bisa menambahkan kunci telepon baru tanpa kartu kunci.
“Dengan desain Tesla saat ini, jika penyerang mengetahui nama pengguna dan kata sandi korban, mereka dapat membawa kendaraan korban,” kata Mysk. “Jika seorang korban ditipu untuk mengungkap identitasnya, mereka tidak boleh kehilangan semuanya. Mereka tidak boleh kehilangan mobilnya.”
Itu Sirip Nol adalah perangkat kontroversial yang dirancang untuk penghobi, peretas, dan orang-orang yang ingin menghentikan mereka. Ini seperti pisau tentara Swiss digital, dengan a berbagai fitur konektivitas nirkabel yang memungkinkan Anda bermain dengan (dan membobol) perangkat lain. Baru-baru ini, salah satu pendiri Flipper memberi tahu Gizmodo bahwa inti dari perangkat ini adalah untuk itu mengungkap praktik keamanan buruk perusahaan teknologi besar. Namun, perlu dicatat bahwa ada berbagai macam perangkat murah lainnya yang memungkinkan Anda mengeksploitasi kerentanan Tesla ini dengan cara yang sama.
Tidak akan sulit bagi Tesla untuk mengatasi masalah ini. Musk mengatakan perusahaan harus mewajibkan otentikasi kartu kunci sebelum menambahkan kunci telepon, dan Tesla harus memberi tahu pengguna ketika kunci baru dibuat. Tetapi tanpa tindakan dari perusahaan, pemilik Tesla mungkin akan kecewa.
Terkadang antarmuka komputer yang ramping dan mewah memberikan ilusi keamanan, namun sering kali, lapisan kerumitan tambahan membuat kita lebih rentan. 20 tahun yang lalu, pencuri mobil pada dasarnya punya dua pilihan: memegang gantungan kunci pengemudi, atau memasang kawat panas pada kendaraannya. Namun jika kunci mobil Anda berisi angka satu dan nol, segalanya bisa menjadi berantakan.
