aplikacja Tesli
9

Polska firma sprawdziła aplikację Tesla: „Jest daleka od przyjętych standardów”

Istnieją pewne praktyki w kontekście tworzenia aplikacji, które ulepszają nie tylko doświadczenie użytkownika w trakcie pracy z nią, ale także istotnie wpływają na bezpieczeństwo. Jak się okazuje, eksperci z XSolve postanowili sprawdzić program służący do obsługi samochodów ze stajni Elona Muska - wnioski są co najmniej niepokojące.

Aplikacja Tesla służąca do obsługi samochodu tej marki pozwoli Ci na sprawdzenie poziomu naładowania akumulatorów samochodu, pokaże Ci gdzie znajduje się Twoje auto, a nawet pozwoli Ci otworzyć do niego drzwi. Do konta w usłudze należy dodać samochód, który należy do nas – odtąd będziemy mogli zarządzać nim z poziomu tylko smartfona. Co jeśli ktoś przejmie nasze dane i będzie za ich pomocą mógł zlokalizować nasze auto lub nawet uruchomić w nim silnik? Przed tego typu scenariuszem z reguły chroni nas uwierzytelnianie dwuskładnikowe – tego akurat w programie Tesli brak.

Na domiar złego, jeżeli ktokolwiek zaloguje się do usługi, nawet z bardzo odległej lokalizacji niż ostatnia, program w żaden sposób nie ostrzeże nas przed tym faktem. Google bardzo często informuje mnie o tym, że loguję się z nieznanego sprzętu / lokalizacji – mimo, że to jestem ja i nic złego się nie dzieje. Ale na kilkanaście takich false positives może przypadać jeden poważny przypadek wskazujący na włamanie – w takiej sytuacji mogę odpowiednio zareagować i powstrzymać wyciek danych. W przypadku Tesli: nie da rady. Czy aby Elon Musk nie za bardzo wierzy zabezpieczeniom w swoim programie?

CEO XSolve zaparkował pod biurem i… postanowiono złamać Teslę

Piotr Majchrzak, CEO XSolve to szczęśliwy posiadacz modelu X – odkąd zaczął parkować tym samochodem pod biurem, zastanawiano się, czy można złamać ten samochód. Okazało się, że najprościej będzie to zrobić z wykorzystaniem aplikacji mobilnej. To stanowi niesamowicie ważny dowód na to, że nawet w tak popularnych i medialnie nośnych firmach jak Tesla… poziom zabezpieczeń w dziedzinie IoT leży i kwiczy. Nie chodzi tutaj o aktualizacje, bezprecedensowe luki, czy też istotne niewymagania po stronie infrastruktury. Nie mamy do czynienia z akceptowalnymi praktykami na poziomie prewencji – uwierzytelnianie dwuskładnikowe czy też alerty o podejrzanych logowaniach to właściwie standard, którego od lat trzymają się najwięksi giganci rynku IT. Tesla zdaje się mieć z tym problem.

Dlatego też, XSolve, oprócz besztania Tesli za słabe – również naszym zdaniem standardy zaproponowało pewne zmiany w programie, które na pewno użytkownikom wyjdą na dobre. Pytanie tylko, czy Tesla w ogóle zwróci na nie uwagę. Mimo, że XSolve nie specjalizuje się w bezpieczeństwie – jako twórca programów musi zwracać uwagę na przyjęte w branży dobre standardy. Cieszymy się, że polska firma nie boi się, dumnie oznajmia o znalezionych przez siebie niedomaganiach i co ważne – proponuje rozwiązania.