Угнать за 130 секунд: NFC-ключи от Теслы можно перехватить
Главная » Новости

Угнать за 130 секунд: NFC-ключи от Теслы можно перехватить

Олеся Афанасьева 10 Июня 2022 - 11:04
...
Угнать за 130 секунд: NFC-ключи от Теслы можно перехватить

NFC-карта — один из трех способов открыть «Теслу». После этого у водителя есть две минуты и 10 секунд, чтобы поехать. Выяснилось, что не только у него.

На закрытой парковке у дома журналистки Anti-Malware.ru стоит пару “тесл”. Яркие лаконичные электрокары от Илона Маска выглядят стильно, современно и надежно. Машины слушаются мобильного приложения, брелока или NFC-карты, а от вандалов «Теслу» должен уберечь охранник стоянки.

Но “не всё так однозначно”. Энтузиасты нашли лазейку, позволяющую перехватить управление автокаром.

Уязвимость обнаружилась в связке мобильного приложения и NFC-ключей. Раньше, чтобы «Тесла» поехала, карта должна была находиться строго на центральной панели. Последние обновления упростили процесс: теперь начать движение можно сразу — главное, успеть сделать это в первые 130 секунд после разблокировки.

Как выяснилось, первыми минутами могут воспользоваться угонщики. В этот короткий период Тесла может принять новые ключи, без аутентификации и уведомлений на дисплее автомобиля.

«Аутентификация в первые 130 секунд носит слишком общий характер», — объясняет журналистам Мартин Херфурт, исследователь безопасности из Австрии.

 

Таймер был задуман для удобства: больше не нужно класть NFC-ключи на панель, просто сел и поехал.

Проблема в том, что в эти же 130 секунд Тесла охотно “общается” с любым Bluetooth-устройством поблизости и даже готова принять новый ключ, не сообщив об этом владельцу.

Для проверки гипотезы Херфурт разработал простую программу Teslakee, написанную тем же языком программирования VCSec, что и официальное приложение Tesla.

Эксперимент удался: Тесла с удовольствием приняла новую связку ключей, а владелец ничего не заметил. Исследователь взламывал Tesla Models 3 and Y. Он не тестировал новые модели S и X, но предполагает, что там тот же баг с NFC-ключами.

Херфурт написал об уязвимости автомобильному гиганту, но ответа не получил.

Проблема с NFC-ключами Теслы не в самой технологии, подчеркивает эксперт. Недостаток лишь в том, что 130 секунд — это “окно” двойного назначения: можно и поехать, и новые ключи подтянуть.

Пока официальные представители молчат, энтузиасты советуют всегда использовать PIN2Drive, не оставлять в машине NFC-ключи и чаще проверять “связки” в приложении.

Следующая главная новость »
AM LiveSOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »

Новый Android-шпион ZeroDayRAT следит за экраном и продаётся в Telegram
Екатерина Быстрова 11 Февраля 2026 - 08:49
Android Шпионские программыПрограммы слежения Домашние пользователи
Новый Android-шпион ZeroDayRAT следит за экраном и продаётся в Telegram

Специалисты по безопасности мобильных устройств предупреждают о новом шпионском инструменте для Android под названием ZeroDayRAT. Вредоносный набор распространяется через Telegram и позволяет злоумышленникам получить практически полный контроль над заражённым устройством.

По данным исследовательской компании iVerify, ZeroDayRAT представляет собой комплект из вредоносного APK-файла и панели управления.

После установки приложения на смартфон атакующий получает доступ к обширной информации о владельце устройства — от модели телефона и версии ОС до номера телефона и данных сим-карты. Также можно узнать список установленных приложений и просматривать журнал входящих уведомлений.

 

Но на этом возможности не заканчиваются. Инструмент позволяет отслеживать геолокацию в реальном времени, читать СМС-сообщения (включая коды подтверждения), получать данные о зарегистрированных на устройстве аккаунтах, а также подключаться к камере и микрофону. Кроме того, злоумышленник может видеть экран жертвы в режиме онлайн.

Отдельную опасность представляет встроенный кейлоггер, поскольку с его помощью можно перехватывать вводимые данные, включая банковскую информацию. ZeroDayRAT также умеет подменять содержимое буфера обмена, что может использоваться, например, для перенаправления криптовалютных переводов на кошельки злоумышленников.

 

По оценке экспертов, подобный уровень функциональности раньше требовал серьёзных ресурсов и был характерен скорее для инструментов уровня государств. Теперь же доступ к нему можно получить через Telegram. Причём даже если каналы распространения будут заблокированы, уже скачанный комплект позволит злоумышленникам продолжать атаки.

ZeroDayRAT нацелен на устройства под управлением Android — от версии 5.0 Lollipop до Android 16. В отчёте также отмечается, что последние версии iOS потенциально тоже могут быть затронуты, хотя основной фокус сейчас — на Android.

Эксперты напоминают: для заражения требуется установка вредоносного APK-файла. Поэтому главный способ защиты остаётся прежним — не устанавливать приложения из непроверенных источников и не переходить по сомнительным ссылкам, особенно если они ведут за пределы официальных магазинов приложений.

AM LiveSOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »
В России окирпичились сотни автомобилей Porshe
Новость
В России окирпичились сотни автомобилей Porshe
Вместо Siri: Apple встроит в iOS и macOS полноценный чат-бот на Gemini
Новость
Вместо Siri: Apple встроит в iOS и macOS полноценный чат-бот...
В WhatsApp появился режим защиты от шпионских атак
Новость
В WhatsApp появился режим защиты от шпионских атак

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.