ก่อนหน้านี้รถยนต์ Tesla เคยมีข่าวถูกแฮ็คโดยทีมนักวิจัยชาวจีนจาก Keen Security Lab ซึ่งสามารถเข้าควบคุมรถยนต์โมเดล S ได้แม้ว่ารถจะจอดอยู่หรือกำลังขับจากระยะทางไกลได้ถึง 20 กิโลเมตร ล่าสุด นักวิจัยชาวนอร์เวย์จาก Promon พบวิธีใช้มัลแวร์โจมตีแอพพลิเคชันของ Tesla บน Android ที่เจ้าของรถใช้ปฏิสัมพันธ์กับระบบของรถยนต์ ส่งผลให้พวกเขาสามารถระบุตำแหน่งของรถ ปลดล็อก และขโมยรถขับรถออกไปได้
นักวิจัยจาก Promon อธิบายการโจมตีใน Blog ของเขาว่า เมื่อผู้ใช้เปิดใช้งาน Tesla App เป็นครั้งแรก Tesla App จะทำการสร้าง OAuth Token ขึ้นมา ซึ่ง Token ดังกล่าวจะถูกใช้แทน Username/Password ทุกครั้งที่มีการเปิดแอพพลิเคชันใหม่ อย่างไรก็ตาม OAuth Token นี้กลับถูกเก็บใน System Folder ของอุปกรณ์แบบ Plain Text ซึ่งไม่มีการเข้ารหัสใดๆ แต่ต้องใช้สิทธิ์ Root ในการเข้าถึงเท่านั้น
นักวิจัยระบุว่า มันเป็นเรื่องง่ายมากที่แฮ็คเกอร์จะพัฒนา Malicious App สักตัวหนึ่งที่แฝง Android Rooting Exploit เช่น Towelroot หรือ Kingroot เข้ามาด้วย ซึ่งช่วยให้แฮ็คเกอร์สามารถยกระกับสิทธิ์ของแอพพลิเคชันดังกล่าว และเข้าถึง OAuth Token จาก Tesla App ได้ แต่การขโมย Token ช่วยให้แฮ็คเกอร์สามารถระบุตำแหน่งของรถยนต์ และเปิดประตูรถได้เท่านั้น ยังไม่สามารถสตาร์ทรถและขับออกไปได้แต่อย่างใด
เพื่อที่จะขโมยรถได้อย่างสมบูรณ์ มัลแวร์จะอาศัยช่องโหว่ที่ เมื่อ OAuth Token ถูกลบออกจากเครื่อง Tesla App จะให้ผู้ใช้ใส่ Username และ Password ใหม่ ในการขโมยข้อมูล Login Credential ของผู้ใช้ออกไป หลังจากที่ได้ข้อมูล Username และ Password แล้ว แฮ็คเกอร์สามารถควบคุม Tesla App ได้อย่างสมบูรณ์ ไม่ว่าจะเป็นการระบุตำแหน่ง การเปิดประตู การสตาร์ทเครื่องยนต์และขับรถออกไปโดยไม่ถูกขัดขวางใดๆ โดยอาศัยการส่ง HTTP Request ที่สร้างขึ้นแบบพิเศษจาก OAuth Token และ Password ไปยัง Tesla Server
วิดีโอสาธิตการขโมยรถ Tesla โดยนักวิจัยจาก Promon
อย่างไรก็ตาม ทาง Tesla ออกมาชี้แจงว่า ช่องโหว่ที่เกิดขึ้นนี้ไม่ใช่ปัญหาที่ตัวแอพพลิเคชัน แต่เกิดจากการที่ผู้ใช้ถูกแฮ็คเกอร์โจมตีแบบ Social Engineering เพื่อหลอกติดตั้งมัลแวร์บนอุปกรณ์ Android ซึ่งเรียกได้ว่าการแฮ็คอุปกรณ์และแอพพลิเคชันทั้งหมด ไม่เว้นแม้แต่แอพพลิเคชันของ Tesla ดังนั้นผู้ใช้จึงควรติดตั้งโปรแกรม Antivirus และไม่โหลดแอพพลิเคชันจากแหล่งที่มาที่ไม่ชัดเจน เพื่อป้องกันปัญหาดังกล่าว
ที่มา: http://thehackernews.com/2016/11/hacking-tesla-car.html