«Tengo el control de 25 coches Tesla en 13 países», el peligroso tweet de un hacker

Los coches eléctricos de Tesla se encuentran entre los más avanzados del mercado. A través de su enorme pantalla, es posible controlar multitud de aspectos del coche, así como también se van recibiendo constantemente nuevas funciones mediante actualizaciones OTA como si de un móvil se tratase. Además, pueden controlarse multitud de aspectos del coche desde el móvil, como acceder a las cámaras en vivo, encender el aire acondicionado o la calefacción, e incluso abrirlo y conducirlo. Sin embargo, esa excesiva conexión a Internet puede traer problemas si se descuida la seguridad.

Y eso es lo que parece que está ocurriendo con decenas de dueños de coches de Tesla. Un hacker llamado David Colombo publicó en el día de ayer una serie de tweets en los que avisaba de que, actualmente, tiene control total de más de 25 coches de Tesla en 13 países diferentes, y todo ello sin que los dueños de los coches lo sepan.
No se trata de probar contraseñas filtradas

El fallo no se trata de una vulnerabilidad en la infraestructura de Tesla, sino que el hacker detalla que es claramente culpa de los dueños de los coches. Colombo no ha querido dar detalles al respecto, pero afirma que no se trata de estar probando contraseñas filtradas en masa para ver si alguna coincide. Por ello, es un misterio saber cómo ha conseguido acceder a esos coches sin probar contraseñas.

Nevertheless I now can remotely run commands on 25+ Tesla‘s in 13 countries without the owners knowledge.

Regarding what I‘m able to do with these Tesla‘s now.
This includes disabling Sentry Mode, opening the doors/windows and even starting Keyless Driving.

[2/X]
— David Colombo (@david_colombo_) January 11, 2022

Colombo afirma que puede ejecutar acciones de manera remota en todos esos coches, incluyendo el desactivar el modo centinela, abrir ventanas y puertas, e incluso hacer uso de la función de Keyless Driving, que permite abrir y conducir el coche sin tener la llave encima. En lugar de la llave, es el móvil el que hace de identificador con esta funcionalidad, por lo que cualquier persona logueada con tu cuenta en un móvil puede abrir el coche y conducirlo.

Además de esas peligrosas funciones, también es posible conocer la ubicación exacta de cada coche, ver si hay alguien conduciendo el coche, y un largo etcétera. Incluso puede reproducir vídeos de YouTube directamente en la pantalla de los coches a máximo volumen, lo cual puede provocar un accidente.

Activa la verificación en dos pasos en tu cuenta de Tesla

La cuenta de Tesla y la aplicación para móviles son compatibles con la verificación en dos pasos con aplicaciones como Google Authenticator. El problema es que activar esta opción es opcional, y al haber sido lanzada en octubre de 2020, la mayoría de usuarios no la tienen activada.

Colombo afirma que, próximamente, va a escribir detalladamente cómo ha conseguido acceder a los coches de los usuarios de Tesla. No obstante, antes de publicarlo, va a asegurarse de que todos los coches afectados estén protegidos, además de que está esperando recibir un código de CVE asociado al fallo.

En el caso de que tengas un Tesla, lo más recomendable es que actives de inmediato la función de verificación en dos pasos para tu cuenta de Tesla, ya que puedes estar poniendo en peligro tu coche y dejar que alguien te lo robe si estás reutilizando contraseñas (hackeadas o no), o usas una contraseña demasiado fácil. Así, en el caso de que alguien pueda acceder a tu cuenta mediante este fallo, te aseguras de que necesite el código de acceso único que sólo tienes tú. Esto es, claro, suponiendo que la vulnerabilidad no permita acceder directamente a una cuenta sin tener que usar la contraseña, lo cual sería aún más peligroso.

Fuente: adslzone