image

Tesla dicht beveiligingslek in Model S via firmware-update

woensdag 7 december 2016, 10:30 door Redactie, 4 reacties

Tesla heeft onlangs een beveiligingslek in de Model S gepatcht waardoor het mogelijk was voor een aanvaller om de software en stuurfuncties van de auto op afstand te bedienen. Dat laat het Industrial Control Systems Cyber Emergency Response Team (ICS-CERT) van de Amerikaanse overheid weten.

De kwetsbaarheid bevindt zich in de Gateway engine control unit (ECU) en zou via de browser kunnen worden aangevallen. Via het beveiligingslek kan een aanvaller malware installeren, waarmee het vervolgens mogelijk is om opdrachten naar de CAN-bus van het voertuig te sturen. Volgens het ICS-CERT is het lastig voor een aanvaller om de kwetsbaarheid uit te buiten, aangezien er een complexe keten van exploits is vereist, waaronder een hack van de browser, een exploit voor het verhogen van de rechten op het systeem en een zelfontwikkelde firmware.

De kwetsbaarheid werd halverwege september door onderzoekers van het Chinese beveiligingsbedrijf Keen Security Lab gedemonstreerd. In een demonstratie laten de onderzoekers zien hoe ze op afstand het dak, de lichten, ruitenwissers, stoel, deuren, kofferbak en remmen bedienen. Volgens het ICS-CERT heeft Tesla op 18 september firmware-updates over-the-air uitgebracht. Eigenaren krijgen dan ook het advies om de laatste firmware te installeren en totdat is gedaan de browser niet te gebruiken. Voor zover bekend zijn er echter geen exploits openbaar die van het lek misbruik maken.

Reacties (4)
07-12-2016, 13:13 door Illnl
All firmware versions before version 7.1 (2.36.31) with web browser functionality enabled.

dus, schakel gewoon die web functionaliteit uit.
Je hebt toch niets online te zoeken als je aan het autorijden bent.

*shitstorm imminent*
07-12-2016, 15:53 door Anoniem
En wederom is bewezen dat de huidige veiligheidskeuring van auto's onvoldoende is, jaren achter loopt op de huidige technologie en zelfregulering door de markt niet de juiste weg is om te voorkomen dat onveilige voertuigen de weg op mogen.

De tijd dat de technische staat van een auto alleen via de werkbrug en crashtesten voldoende bepaald kan worden ligt inmiddels jaren achter ons. Zowel de Europese als landelijke vorming van essentiele komt niet van de grond want de politici en beleidsmakers die er over gaan snappen de materie niet en de keuringsinstanties die in horen te staan voor toelating op grond van de technische staat hebben al helemaal geen benul wat voor risico's er in dit soort IoT functionaliteiten schuilt.

Op dit moment is het lucratiever om beveiligingslekken die de technische staat van voertuigen beinvloeden aan fabrikanten te melden. Wie durft het risico aan dat er geen melding komt en er slachtoffers vallen? Het laatste is de weg die de politiek en de keuringsinstanties kiezen. Het is namelijk goedkoper om geen aandacht te schenken aan de ondeugedlijke technische staat van computers. Handel gaat voor veiligheid.
08-12-2016, 09:19 door Anoniem
Door Anoniem: En wederom is bewezen dat de huidige veiligheidskeuring van auto's onvoldoende is, jaren achter loopt op de huidige technologie en zelfregulering door de markt niet de juiste weg is om te voorkomen dat onveilige voertuigen de weg op mogen.
Nee, wat dit aantoont is dat een auto (net als vele andere systemen) niet aangesloten zou moeten zijn op het internet.
08-12-2016, 10:35 door PietdeVries - Bijgewerkt: 08-12-2016, 10:35
Door Anoniem: Nee, wat dit aantoont is dat een auto (net als vele andere systemen) niet aangesloten zou moeten zijn op het internet.

Dat is natuurlijk een non-argument: omdat het nu niet veilig is vooral maar nooit meer doen. De eerste honderd jaar vielen de vliegtuigen ook bij bosjes uit de lucht. Zou een beetje jammer zijn geweest als ze na de 100ste crash 't bijltje er bij neer hadden gegooid en zich volledig hadden gestort op fietsen, niet?

Net zoals Rule 34 bestaat zou er ook een Rule35 moeten zijn: alles wordt beter als er internet op zit. Je moet alleen even wat aandacht besteden aan de beveiliging...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.