Araştırmacılar, Tesla şarj istasyonlarında bilgisayar korsanlarının Flipper Zero, Raspberry Pi veya dizüstü bilgisayar adı verilen basit ve uygun fiyatlı bir bilgisayar korsanlığı aracı kullanarak araçları çalmasına olanak verebilecek bir siber güvenlik açığı keşfetti.
Saldırganlar, yalnızca sızdırılan bir e-posta ve şifreyle Tesla aracına erişim sağlayabiliyor. Kimlik avı ve sosyal mühendislik saldırılarının yaygınlığı göz önüne alındığında bu istismar özellikle endişe verici oluyor. Bilgisayar korsanları, “Tesla Guest” adında sahte bir Wi-Fi ağı oluşturarak kurbanları oturum açma bilgilerini yinelenen bir siteye girmeleri için kandırıyor. Çalınan bu giriş bilgileri, Tesla’nın iki faktörlü kimlik doğrulamasını atlayarak kurbanın Tesla akıllı telefon uygulamasına erişime izin veriyor ve aracın fiziksel anahtar kartına ihtiyaç duymadan aracın kilidini açmak ve çalmak için yeni bir “telefon anahtarı” oluşturulmasına olanak tanıyor.
Tesla’nın, kullanım kılavuzunda bunun mümkün olmadığına dair güvence vermesine rağmen Mysk, bu güvenlik açığını kendi Tesla’sında göstermeyi başardı. Tesla’yı bilgilendirdikten sonra şirket konuyu küçümsedi ve bunu “amaçlanan davranış” olarak nitelendirdi.
Tesla’nın, yeni bir telefon anahtarı oluşturulduğunda kullanıcıları bilgilendirerek bu güvenlik açığını giderebileceği öne sürülüyor ancak Tesla’nın harekete geçip geçmeyeceği belirsizliğini koruyor.
Siber güvenlik araştırmacıları, otomotiv endüstrisindeki anahtarsız giriş sistemleriyle ilişkili riskler konusunda uzun süredir uyarıyordu bununla beraber şirketlerin güvenlik önlemlerinde bu tür tehditleri dikkate almaları gerektiğini tekrar vurguladı.
Derleyen: Eliz Canyurt
