Tesla patcht beveiligingslekken in Model S via update
Auto's van fabrikant Tesla zijn goed beveiligd tegen hacking, aldus twee onderzoekers die er uiteindelijk met veel moeite wel in slaagden een Tesla Model S te hacken. Marc Rogers van Cloudflare en Kevin Mahaffey van Lookout Mobile ontdekten in totaal zes kwetsbaarheden in de Tesla, zo laten ze vandaag via een blogposting weten. De twee onderzoekers zullen hun bevindingen deze week tijdens de Def Con conferentie in Las Vegas presenteren.
Voor het onderzoek, dat zo'n 2 jaar in beslag nam, moesten ze de auto letterlijk uit elkaar halen. Via de beveiligingslekken kregen ze volledige controle over het infotainmentsysteem van de auto. Vervolgens installeerden ze malware die op afstand was te bedienen en waarmee ze alle acties konden uitvoeren die ook via het touchschreen of de smartphone-app van de Tesla konden worden uitgevoerd. Zo was het mogelijk om de auto uit te schakelen terwijl die aan het rijden was, zo laten de onderzoeker tegenover Forbes weten.
Naast de vereiste fysieke toegang ontdekten de onderzoekers dat het ook mogelijk was om het infotainmentsysteem op afstand aan te vallen. Het systeem gebruikte een kwetsbare browser met een vier jaar oud WebKit-lek, zo meldt Wired. Hierdoor zou een aanvaller de auto op afstand kunnen aanvallen als een Tesla-gebruiker vanuit de auto een kwaadaardige website zou bezoeken. In dit geval zou het ook mogelijk zijn om op afstand de motor te starten of uit te schakelen.
De onderzoekers ontdekten dat Tesla echter een beveiligingsmaatregel had ingevoerd. In het geval de motor wordt uitgeschakeld terwijl de auto aan het rijden is, wordt de handrem actief en zet de auto stil als de snelheid onder de 8 kilometer per uur komt. De onderzoekers rapporteerden de problemen aan Tesla, dat inmiddels een update heeft uitgebracht. In tegenstelling tot Chrysler, dat vanwege beveiligingsproblemen 1,4 miljoen auto's moest terugroepen zodat die via een USB-stick konden worden geüpdatet, brengt Tesla updates "over-the-air" uit en hoeven klanten hun voertuig niet terug naar de dealer te brengen. Ze moeten de update echter wel accepteren, er vindt namelijk geen automatische installatie plaats.
Om over the air updates te kraken moet er over het algemeen dit gedaan worden:
1. Private key van de server die de updates signed.
Deze server zou niet aan een netwerkverbinding moeten houden, dus de server hacken en de key eruit halen zou uitermate moeilijk moeten zijn en vrij eenvoudig detecteerbaar.
Waarschijnlijk is het in hardware onmogelijk gemaakt om de private key te extracten en zal dus je malware op de Tesla server gesigned moeten worden, wat detectie nog eenvoudiger maakt.
De private key bruteforcen is in ieder geval de komende decenia geen optie, misschien dat je een kans hebt met een quantumcomputer, maar dat is op zijn best een wilde gok.
2. Je moet de verbinding naar de updateserver kunnen onderscheppen.
Daarvoor moet je of een MitM aanval op een mobiel netwerk uitvoeren, of toegang hebben tot de Tesla updateserver of een hyjack doen van bijv een DNS of ip adres reeks.
Dat 2e is een stuk eenvoudiger, maar ook simpel te detecteren.
Een update namaken is dus nog niet zo simpel en vrijwel altijd eenvoudig detecteerbaar.
Ik denk dat het eenvoudiger is de auto's fysiek te modificeren, ook in grotere getalen dan het updatemechanisme misbruiken.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
