Tesla dicht beveiligingslek in Model S via firmware-update
Tesla heeft onlangs een beveiligingslek in de Model S gepatcht waardoor het mogelijk was voor een aanvaller om de software en stuurfuncties van de auto op afstand te bedienen. Dat laat het Industrial Control Systems Cyber Emergency Response Team (ICS-CERT) van de Amerikaanse overheid weten.
De kwetsbaarheid bevindt zich in de Gateway engine control unit (ECU) en zou via de browser kunnen worden aangevallen. Via het beveiligingslek kan een aanvaller malware installeren, waarmee het vervolgens mogelijk is om opdrachten naar de CAN-bus van het voertuig te sturen. Volgens het ICS-CERT is het lastig voor een aanvaller om de kwetsbaarheid uit te buiten, aangezien er een complexe keten van exploits is vereist, waaronder een hack van de browser, een exploit voor het verhogen van de rechten op het systeem en een zelfontwikkelde firmware.
De kwetsbaarheid werd halverwege september door onderzoekers van het Chinese beveiligingsbedrijf Keen Security Lab gedemonstreerd. In een demonstratie laten de onderzoekers zien hoe ze op afstand het dak, de lichten, ruitenwissers, stoel, deuren, kofferbak en remmen bedienen. Volgens het ICS-CERT heeft Tesla op 18 september firmware-updates over-the-air uitgebracht. Eigenaren krijgen dan ook het advies om de laatste firmware te installeren en totdat is gedaan de browser niet te gebruiken. Voor zover bekend zijn er echter geen exploits openbaar die van het lek misbruik maken.
dus, schakel gewoon die web functionaliteit uit.
Je hebt toch niets online te zoeken als je aan het autorijden bent.
*shitstorm imminent*
De tijd dat de technische staat van een auto alleen via de werkbrug en crashtesten voldoende bepaald kan worden ligt inmiddels jaren achter ons. Zowel de Europese als landelijke vorming van essentiele komt niet van de grond want de politici en beleidsmakers die er over gaan snappen de materie niet en de keuringsinstanties die in horen te staan voor toelating op grond van de technische staat hebben al helemaal geen benul wat voor risico's er in dit soort IoT functionaliteiten schuilt.
Op dit moment is het lucratiever om beveiligingslekken die de technische staat van voertuigen beinvloeden aan fabrikanten te melden. Wie durft het risico aan dat er geen melding komt en er slachtoffers vallen? Het laatste is de weg die de politiek en de keuringsinstanties kiezen. Het is namelijk goedkoper om geen aandacht te schenken aan de ondeugedlijke technische staat van computers. Handel gaat voor veiligheid.
Dat is natuurlijk een non-argument: omdat het nu niet veilig is vooral maar nooit meer doen. De eerste honderd jaar vielen de vliegtuigen ook bij bosjes uit de lucht. Zou een beetje jammer zijn geweest als ze na de 100ste crash 't bijltje er bij neer hadden gegooid en zich volledig hadden gestort op fietsen, niet?
Net zoals Rule 34 bestaat zou er ook een Rule35 moeten zijn: alles wordt beter als er internet op zit. Je moet alleen even wat aandacht besteden aan de beveiliging...
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
