Een authenticatielek in de Tesla Model S maakt het voor hackers mogelijk om bepaalde functies van de elektrische auto te bedienen, zo heeft een beveiligingsonderzoeker ontdekt. Het probleem bevindt zich in de REST API, waarmee de auto-eigenaar verschillende zaken via de smartphone of tablet kan uitvoeren.
Het gaat dan om claxonneren, de oplaadpoort openen, de batterij controleren, het voertuig lokaliseren, bepaalde instellingen wijzigen en de klimaatcontrole en het zonnedak bedienen. Tesla zou in de REST API een kwetsbaar authenticatieprotocol gebruiken. Om de auto samen te stellen moeten kopers een account op teslamotors.com aanmaken.
Zodra er op het account wordt ingelogd wordt er een authenticatietoken aangemaakt die drie maanden geldig is. Bij de ontwikkeling van de API zou Tesla alle afspraken over API authenticatie hebben genegeerd en besloot men een eigen API te schrijven, aldus onderzoeker George Reese die het probleem ontdekte.
Wie toegang tot de inloggegevens of authenticatietokens weet te krijgen kan vervolgens bepaalde functie op afstand bedienen. Reese stelt dat een aanvaller het voertuig niet kan overnemen om bijvoorbeeld een ongeluk te veroorzaken. Wel kan het knipperen van de lichten, het toeteren en het open en dichtdoen van het zonnedak afleiden als iemand aan het rijden is.
"Het engste is mogelijk wel dat de API gebruikt kan worden om je overal te volgen", merkt Reese op. "Het kernprobleem is niet hoe gevaarlijk een aanval via deze specifieke lekken kan zijn, maar ik reageer op het grotere geheel van het Internet of Things, waarbij alles een API heeft en alles redelijk beveiligd moet worden", gaat de onderzoeker verder."
Hij waarschuwt voor een scenario waarbij een aanvaller de database met authenticatietokens hackt en vervolgens drie maanden toegang tot alle auto's op de website heeft, zonder dat de eigenaren hier iets aan kunnen doen.
Deze posting is gelocked. Reageren is niet meer mogelijk.