Tesla Model X door kwetsbaarheden in sleutel binnen minuten te stelen
Onderzoekers van de KU-Leuven hebben kwetsbaarheden in de draadloze sleutel van de Tesla Model X ontdekt waardoor het mogelijk is om de auto te stelen. Tesla heeft inmiddels een beveiligingsupdate uitgebracht om het probleem te verhelpen.
De Tesla Model X-sleutel maakt voor de ontgrendeling gebruik van Bluetooth Low Energy (BLE). De eigenaar drukt op de knop van de sleutel die via bluetooth een signaal uitzendt. Dit signaal wordt door de Electronic Control Unit (ECU) gecontroleerd. De onderzoekers maakten voor hun aanval gebruik van een aangepaste ECU, afkomstig van een Tesla X-wrak.
Met deze aanpaste ECU is het mogelijk om een signaal naar de sleutel van het doelwit te sturen en die zo te activeren. Het updatemechanisme van de BLE-chip op de sleutel bleek niet goed te zijn beveiligd, waardoor de onderzoekers die volledig konden compromitteren via een malafide update. Het installeren van een dergelijke update duurt anderhalve minuut en kan gemakkelijk worden uitgevoerd over een afstand van meer dan dertig meter, meldt de universiteit.
Door de sleutel te compromitteren is het mogelijk om de codes te verkrijgen waarmee de auto is te openen. Vervolgens maakten de onderzoekers verbinding met de diagnostische interface in de auto die wordt gebruikt door onderhoudstechnici. Een kwetsbaarheid in de implementatie van het verbindingsprotocol maakte het mogelijk om een aangepaste sleutel aan de auto te koppelen om permanent toegang te behouden en met de auto weg te rijden.
Voor het uitvoeren van de aanval maakten de onderzoekers gebruik van goedkope hardware, zoals een Raspberry Pi-computer met een CAN-schild, een aangepaste sleutel, een ECU van een autowrak (negentig euro op eBay) en een LiPo-batterij. De onderzoekers waarschuwden Tesla op 17 augustus van dit jaar. Tesla ontwikkelde vervolgens een update. Als onderdeel van de 2020.48 over-the-air software-update, die nu wordt uitgerold, stuurt de auto een firmware-update naar de sleutel.
Maar is het veiliger? Autodiefstal en -inbraak zijn de afgelopen 10 jaar meer dan gehalveerd... Daar heeft die elektronica toch echt wel iets mee te maken.
Tegenwoordig pakken ze alleen de echt dure auto's,net zoveel werk als de goedkope,geen gereedschap meer nodig...alleen een laptop o.i.d.
Tegenwoordig pakken ze alleen de echt dure auto's,net zoveel werk als de goedkope,geen gereedschap meer nodig...alleen een laptop o.i.d.
De goedkope auto's worden gestolen voor gelegenheidsritjes, ramauto voor ramkraken, overvallen in als pool-car voor kleine criminele buurtgroepjes. Makkelijk te stelen, onopvallend rijden de rot naar of van de klus. Deze auto's worden vaak ook met kleine schade later weer teruggevonden.
In tegenstelling tot de dure die nooit meer teruggevonden worden en een totaal verlies opleveren.
Onzin, alleen logisch denken geeft dit al aan -> elke auto dief kan 2 draadjes verbinden, niet elke auto dief kan "hacken"...
Behalve dat de beveiliging van de inzittende bij de oude barrels een heel andere kwaliteit heeft.
Tegen diefstal kun je je verzekeren, tegen de dood of ernstig letsel dan weer niet. ;)
Onzin, alleen logisch denken geeft dit al aan -> elke auto dief kan 2 draadjes verbinden, niet elke auto dief kan "hacken"...
Onzin. JE hebt alleen iemand nodig die het voordoet, cq een scriptje voor schrijft. Bovendien kun je omgekeerd redeneren: mensen met wat ict kennis zullen nu eerder auto;s gaan stelen terwijl ze voorheen geen idee hadden van electronica in elkaar zit. Of anders: bendes autodieven zullen nu gewoon wat meer ict-gerichtte mensen bij hun club betrekken in plaats van mensen die weten welke 2 van de honderden draaadjes je moet verbinden.
Behalve dat de beveiliging van de inzittende bij de oude barrels een heel andere kwaliteit heeft.
Tegen diefstal kun je je verzekeren, tegen de dood of ernstig letsel dan weer niet. ;)
En tegen een brandende 100K€ EV dat je niet uigedoofd krijgt? ;-)
Want die waren in seconden ipv minuten te stelen?
Het is gewoon belachelijk om een auto te hebben met electronica die essentieel is voor de kerntaken van het ding (rijden).
Het is nog belachelijker om te rijden op een brandstof die je niet zelf kan verbouwen en beschikbaar is als het stroomnet ermee stopt.
Lang leve paard en wagen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
