Un hacker ha descubierto un nuevo fallo de seguridad en Tesla, y para demostrarlo ha robado su propio coche con una herramienta al alcance de cualquiera Cuando se habla de hackear un Tesla, es fácil imaginarse al personaje interpretado por Rami Malek en ‘Mr. Robot’ tecleando un portátil. Y en otras ocasiones ha sido así, pero en este caso no. Basta un Flipper Zero y un poco de ingenio para abrir un Tesla en pocos minutos y marcharse a su volante. El Flipper es la navaja suiza de los hackers, un dispositivo que se puede comprar online con mucha facilidad por unos 169 dólares. Los investigadores de seguridad Tommy Mysk y Talal Haj Bakry, de Mysk Inc., descubrieron un fallo de diseño en la seguridad de los Tesla que no necesita más que ingenio y un Flipper Zero. El ataque es tan sencillo, explicaron, como pasar la información de acceso del propietario de un Tesla, abrir la app de Tesla y salir conduciendo con el coche. En ese caso, la víctima ni siquiera sabría que le acaban de robar el coche. Para demostrar la veracidad de su descubrimiento, robó su propio coche. No se trata de un "hackeo" en el sentido de entrar y alterar el software del coche, sino de un ataque mediante ingeniería social en el que se engaña al usuario para que facilite su información. Usan, lo que viene siendo un phishing. Phishing para robar un tesla Utilizando un Flipper, los investigadores crearon una red WiFi llamada "Tesla Guest", es decir, el nombre que Tesla utiliza para sus redes de invitados en los centros de servicio. Mysk creó entonces un sitio web que parecía la página de inicio de sesión de Tesla. Los hackers emiten la red cerca de una estación de carga, donde un conductor aburrido podría estar buscando entretenimiento en su móvil. La víctima se conecta a la red WiFi ‘Tesla Guest’ pensando que es la auténtica e introduce su nombre de usuario y contraseña en el falso sitio web de Tesla. A continuación, utilizan las credenciales que han obtenido para iniciar sesión en la aplicación auténtica aplicación Tesla, que activa un código de autenticación en dos pasos. La víctima introduce sus códigos de verificación en el sitio web falso, dando así todas sus contraseñas a los ladrones. Estos pueden entonces entrar en la cuenta de ese automovilista. Es grosso modo el mismo método que emplean los ladrones con el phishing para vaciar las cuentas bancarias que quien haya caído en sus trampas. En este caso, los ladrones configurar su teléfono para que actúe como llave del coche. Y voilá, tienen una auténtica llave para abrir y marcharse con el Tesla de esa persona. Si es la víctima, engañada por el aspecto de las webs, la que da sus contraseñas ¿dónde está el fallo de diseño de Tesla? En el hecho de que la víctima no sepa que hay una nueva llave configurada en un nuevo móvil. No recibe notificación ni le aparecen las otras posibles llaves configuradas en móviles. Además, Tesla proporciona una llave física para el coche en forma de tarjeta, como recuerdan desde Jalopnik. Esta, según el manual de usuario del Tesla Model, “se utiliza para "autenticar" las llaves del teléfono para que funcionen con el Model 3 y para añadir o eliminar otras llaves." Es decir, debería impedir que se pudiesen hacer otras llaves sin el consentimiento del dueño del coche. Sin embargo, cuando en las pruebas que realizó Mysk, nunca necesitó esa tarjeta. "Con el diseño actual de Tesla, si un atacante tiene el nombre de usuario y la contraseña de la víctima, puede huir con el vehículo de la víctima", dijo Mysk. Tesla es una marca que fomenta que se descubran las vulnerabilidades y los fallos de seguridad de sus coches, es una manera de mejorarlos. En regla general, esos fallos se hacen públicos una vez han sido enmendados. En este caso, parece bastante sencillo enmendar el fallo: que se requiera efectivamente la llave física para crear una nueva llave virtual en un smartphone y enviar notificaciones cuando se crean o intentan crear nuevas llaves virtuales. Algo tan sencillo, al final, como lo que hace Google o Apple con los nuevos dispositivos que se conectan a nuestra cuenta.
Desbloquea teléfonos, abre un BMW y cambia el precio de la gasolinera: Flipper Zero, el "tamagotchi para hackers". Se llama Flipper Zero y es el dispositivo de moda entre los aficionados al hacking. Este pequeño dispositivo es una especie de navaja suiza que lleva ya algún tiempo disponible pero que se ha convertido en viral gracias a los vídeos de quienes lo promocionan en TikTok. Muchos lo califican como el 'tamagotchi para hackers', y sus prestaciones son realmente llamativas... pero no milagrosas. Recordando al tamagotchi. El diseño del dispositivo recuerda a los míticos tamagotchi, aquellas mascotas virtuales que triunfaron en los 90. En la pantalla monocroma LCD de 1,4 pulgadas (128x64 píxeles) se muestra la información del dispositivo, pero también es protagonista la mascota del proyecto, un delfín virtual creado con pixel art cuya apariencia cambia según las funciones que vamos usando. El Flipper Zero fue todo un éxito en Kickstarter, donde su campaña de 2020 recaudó 4,8 millones de dólares. Los dispositivos tardaron en llegar y sigue habiendo disponibilidad limitada, pero su precio (169 dólares) es desde luego atractivo para lo que ofrece. Conexiones por doquier. El dispositivo es capaz de leer, copiar y emular etiquetas RFID y NFC, mandos a distancia o claves digitales a distancia gracias al soporte de señales infrarrojas. Es totalmente autónomo y no necesita ser conectado a un ordenador o un smartphone para utilizarlo. Consta de un pad digital y un botón independiente para volver atrás, y es también posible conectarlo con módulos externos a través de un puerto GPIO. Los datos de usuario y el firmware se almacenan en una tarjeta Micro SD. Un potencial notable. Esa capacidad de recepción, emulación y emisión de distintos tipos de señales inalámbricas permite conectarlo potencialmente a todo tipo de productos e incluso clonarlos e interferir con sus comunicaciones. Entre ellos, llaves de coche, de garaje, sensores de movimiento, videotimbres, ventiladores, LEDs, interruptores, aspersores, termostatos, o dispositivos más llamativos como collares de perro. El soporte RFID hace posible que Flipper Zero pueda leer, guardar, emular e incluso romper la seguridad de sistemas como llaves de puertas de hoteles o apartamentos turísticos mediante fuerza bruta, algo que ciertamente es peligroso. Como en otros muchos casos, Flipper Zero es una herramienta, y de hecho puede servir para advertirnos a nosotros —y a las empresas que usan tecnologías como RFID— de que sus sistemas pueden ser vulnerables. https://www.xataka.com/seguridad/fl...ndo-viral-tiktok-hay-buenas-razones-para-ello
