Los autos de Tesla son notoriamente hackeables, y un nuevo video demuestra una forma en que un ciberdelincuente experto podría ingresar al sistema de tu automóvil y llevarlo a dar un paseo si están cerca.
Reportado por primera vez por Ars Technica, el exploit involucra la manipulación de una función relativamente nueva que Tesla agregó en agosto pasado. La función permite a los conductores encender sus vehículos simplemente abriendo la puerta del automóvil con una tarjeta de comunicación de campo cercano (NFC). Esas tarjetas vienen con todos los vehículos Tesla Model 3 y utilizan señales de identificación por radiofrecuencia (RFID) de corto alcance para interactuar con el sistema informático del automóvil. Al desbloquear la puerta, se inicia un período de 130 segundos en el que el automóvil arranca por sí solo. Le permite al conductor tener el automóvil en marcha tan pronto como su trasero esté en el asiento.
Pero ese nuevo modo también es vulnerable a un exploit único que podría hacer que sea secuestrado, según Martin Herfurt, un investigador de seguridad austriaco. Herfurt dice que la función de Tesla no solo enciende su automóvil automáticamente; también lo pone en un estado en el que el vehículo está abierto a la “lista blanca” de nuevas llaves para desbloquear la puerta del automóvil. Además de las tarjetas NFC, los Tesla Model 3 también se pueden desbloquear con un llavero o una aplicación móvil de Tesla registrada en la cuenta del propietario.
Herfurt creó su propia aplicación móvil, a la que denominó “TeslaKee”, que se comunica con la función en VCsec, el idioma que usa la aplicación de Tesla para chatear con los vehículos de Tesla, y que, según él, puede incluirse en la “lista blanca” como clave que puede abrir las puertas del coche. Las claves se pueden agregar de forma remota de esta manera abusando de la nueva función, sin requisitos de autenticación necesarios para agregarlas, afirma Herfurt. Hizo un video de YouTube que muestra cómo podría funcionar el exploit. Es bastante simple. Puedes comprobarlo a continuación:
De acuerdo, la situación en la que tendrías que estar para que esto suceda es ridícula. Primero, el hacker tendría que hacer lo que hizo Herfurt y diseñar su propia aplicación. Luego, tendrían que sentarse y esperar a que estacionaras tu auto. Luego, presumiblemente, ejecutarían el exploit y lo rastrearían hasta que llegara a un destino y saliera. Entonces, sí, podrían secuestrar tu viaje. Un poco exagerado, pero en el mundo del delito cibernético, ¡han sucedido cosas más extrañas!
Tesla cerró su departamento de relaciones públicas en 2020, por lo que no pudimos comunicarnos con la compañía para hacer comentarios. Tal vez etiquetaremos a Elon en Twitter y le preguntaremos al respecto.