Provando mais uma vez que a conveniência não deve superar a prudência, especialistas em cibersegurança acabam de descobrir uma vulnerabilidade grave no mecanismo que permite aos proprietários de carros Tesla destrancarem seus veículos por meio de um aplicativo no celular.

A descoberta se baseia no uso do Flipper Zero, um dispositivo proibido no Brasil que, combinado com uma estratégia maliciosa, potencialmente daria aos criminosos não somente acesso como também controle sobre os carros.

O mecanismo do golpe

Segundo os pesquisadores responsáveis pelo estudo, Tommy Mysk e Talal Haj Bakry, da Mysk Inc, o método explora o processo de autenticação de aplicativos de smartphone da Tesla. Os cibercriminosos empregam em conjunto o Flipper Zero e uma placa de desenvolvimento Wi-Fi para forjar uma página de acesso ao Wi-Fi de visitantes da Tesla. Esse enganoso solicita aos proprietários que insiram suas credenciais de login, incluindo nome de usuário, senha e até mesmo o código de autenticação de dois fatores – dados esses que, então, são capturados secretamente pelo invasor.

Este método não só compromete a segurança da conta Tesla, mas também facilita a criação de novas "chaves" virtuais para o carro, permitindo potencialmente que o veículo seja desbloqueado e conduzido por indivíduos não autorizados. Mesmo a presença de cartões-chave físicos, destinados a autenticar as chaves do celular e gerenciar o acesso ao veículo, não consegue mitigar essa vulnerabilidade, conforme confirmado pelas investigações de Mysk.

À luz dessas revelações, Mysk defende que a Tesla obrigue o uso de cartões-chave físicos para a criação de chaves dentro do aplicativo, juntamente com notificações proativas aos proprietários sempre que novas chaves forem geradas. Essa abordagem poderia, assim, impedir tentativas de acesso não autorizado e melhorar as medidas gerais de segurança da marca.

Além disso, a empresa de segurança alerta que a menção ao Flipper Zero serve apenas como um exemplo de ferramenta que pode ser usado nesse golpe. Dispositivos semelhantes, como o Wi-Fi Pineapple ou o Wi-Fi Nugget, também poderiam ser empregados para esse mesmo fim.

Como se proteger?

Então, como os proprietários de Tesla podem se proteger dessas ameaças? Em primeiro lugar, os usuários devem estar cientes de que a conexão à rede Wi-Fi de visitantes da Tesla não requer nenhum código de autenticação de dois fatores. Desta forma, qualquer página que solicite tal informação é potencialmente maliciosa.

Em segundo lugar, é aconselhável ter cautela ao acessar redes Wi-Fi, principalmente em ambientes públicos ou desconhecidos, sendo preferível evitá-las. Caso seu uso seja inevitável, o emprego de uma rede virtual privada (VPN) pode mitigar seus riscos ao adicionar uma camada adicional de segurança à navegação e ocultar um dos seus tipos de endereços IP – o público.

A ocultação do seu IP público permite maior privacidade e evita o rastreamento baseado em localização pela internet, sendo essencial para a segurança. Além disso, as VPNs conseguem criptografar o tráfego online do usuário e, assim, previnem que dados transmitidos pela rede Wi-Fi pública sejam captados por indivíduos não autorizados.

Em terceiro lugar, especialistas também recomendam que os usuários tenham cuidado ao baixar aplicativos de fontes desconhecidas. Não é raro que programas obtidos de páginas não oficiais contenham malware ou funções ocultas que podem se aproveitar dos dados do seu dispositivo para fins maliciosos.

Além disso, conferir regularmente as chaves associadas à conta Tesla para verificar se não há nenhuma adição recente suspeita é uma boa medida. No próprio aplicativo da Tesla, é possível editar ou remover chaves que possam suscitem desconfiança.

Por fim, é importante notar que esses golpes só funcionam quando realizados à proximidade do carro e em tempo real. Então, não há motivo para pânico.