Tesla heeft onlangs een beveiligingslek in de Model S gepatcht waardoor het mogelijk was voor een aanvaller om de software en stuurfuncties van de auto op afstand te bedienen. Dat laat het Industrial Control Systems Cyber Emergency Response Team (ICS-CERT) van de Amerikaanse overheid weten.
De kwetsbaarheid bevindt zich in de Gateway engine control unit (ECU) en zou via de browser kunnen worden aangevallen. Via het beveiligingslek kan een aanvaller malware installeren, waarmee het vervolgens mogelijk is om opdrachten naar de CAN-bus van het voertuig te sturen. Volgens het ICS-CERT is het lastig voor een aanvaller om de kwetsbaarheid uit te buiten, aangezien er een complexe keten van exploits is vereist, waaronder een hack van de browser, een exploit voor het verhogen van de rechten op het systeem en een zelfontwikkelde firmware.
De kwetsbaarheid werd halverwege september door onderzoekers van het Chinese beveiligingsbedrijf Keen Security Lab gedemonstreerd. In een demonstratie laten de onderzoekers zien hoe ze op afstand het dak, de lichten, ruitenwissers, stoel, deuren, kofferbak en remmen bedienen. Volgens het ICS-CERT heeft Tesla op 18 september firmware-updates over-the-air uitgebracht. Eigenaren krijgen dan ook het advies om de laatste firmware te installeren en totdat is gedaan de browser niet te gebruiken. Voor zover bekend zijn er echter geen exploits openbaar die van het lek misbruik maken.
Deze posting is gelocked. Reageren is niet meer mogelijk.