2022/01/14

Tesla revoga tokens de autenticação após aviso de hacker

A Tesla revogou os tokens de autenticação de alguns utilizadores, obrigando a nova autenticação em apps externas.

Junte-se Tesla e Hackers numa mesma frase e não demoram a surgir noticias fantasiosas de hackers que tenham conseguido controlar os carros remotamente. Mas desta vez o caso é bastante simples. Há várias apps e serviços que acedem directamente à API da Tesla e que, por isso, necessitam da autenticação dos utilizadores. Normalmente isso é conseguido mantendo um token de autenticação, idêntico ao que os browsers utilizam para manter o utilizador com o login feito nos serviços a que acede. É, por isso mesmo, também um dos alvos preferenciais de hackers, pois com estes tokens podem aceder aos serviços como se fossem esse utilizador, sem necessidade de saberem a sua password.

Aparentemente, o que terá acontecido é que um hacker terá arranjado forma de "roubar" esses tokens de uma app que acede à API da Tesla - não da app oficial da Tesla - e alertado a Tesla para esse risco de segurança. E, em resultado disso, a Tesla terá revogados os tokens dos utilizadores, obrigando-os a fazer novo login e associação à app.


Eventualmente, dependendo da app e do tipo de acesso, um atacante poderia ter acesso a coisas como saber a localização do carro, ajustar alguns controlos, etc. mas não controlar o carro remotamente. Mas, será inevitável que, mais tarde ou mais cedo, com a proliferação de carros com sistemas de condução autónoma ou semi-autónoma, se vá enfrentar um qualquer caso de hackers que comecem a roubar carros remotamente.

Sem comentários:

Enviar um comentário (problemas a comentar?)

[pub]