这个超火的黑客小工具，可以通过WiFi解锁特斯拉

据BleepingComputer消息，一种利用 Flipper Zero 设备进行的简单钓鱼攻击可能导致特斯拉账户被篡改，甚至能让汽车被解锁并启动。该攻击适用于版本为 4.30.6 和 11.1 2024.2.7的特斯拉应用程序。

安全研究人员塔拉勒哈吉巴克里（Talal Haj Bakry） 和汤米米斯克（Tommy Mysk） 向特斯拉报告了他们的发现，指出将汽车与新手机关联缺乏适当的身份验证安全性。

研究指出，攻击者可以部署一个名为“Tesla Guest”的 WiFi 网络，这是特斯拉服务中心经常出现的 SSID名称，非常具有迷惑性。接着，使用 Flipper Zero 广播 WiFi 网络，一旦受害者连接到伪造的网络，他们将收到一个虚假的特斯拉登录页面，要求使用他们的特斯拉账户凭据登录。无论受害者在钓鱼页面上输入什么，攻击者都可以实时在 Flipper Zero 上看到。

网络钓鱼过程

输入特斯拉账户凭据后，钓鱼页面会要求输入账户的一次性密码，以帮助攻击者绕过双因素身份验证保护。攻击者必须在一次性密码过期之前行动，并使用窃取的凭据登录特斯拉应用程序。一旦进入账户，攻击者可以实时跟踪车辆的位置。

此外，通过访问受害者的特斯拉账户，攻击者可以添加一个新的“手机钥匙”。这一操作可在离车辆几米远的地方实现。米斯克表示，通过应用程序添加新的电话钥匙不需要解锁汽车或将智能手机放在车内，这造成了很大的安全漏洞。