Nieuws
image

Toegang en locatie Tesla slechts beschermd door wachtwoord van 6 karakters

maandag 31 maart 2014, 16:16 door Redactie, 4 reacties

Het enige dat tussen een hacker en een Tesla van $100.000 staat is een wachtwoord van 6 karakters, aldus Nitesh Dhanjani, auteur van verschillende boeken over hacking en zelf eigenaar van een Tesla, op de Black Hat Asia security conferentie in Singapore. Dhanjani vond verschillende ontwerpfouten in het beveiligingssysteem van het Tesla Model S sedan. Hij vond geen kwetsbaarheden in het hoofdsysteem en heeft zijn bevindingen doorgestuurd naar Tesla.

Dhanjani stelt dat wanneer het wachtwoord gestolen of gekraakt wordt hiermee gemakkelijk de locatie van de auto achterhaald kan worden. Ook kan de auto geopend worden en kunnen de bezittingen in de auto gestolen worden. Om de auto daadwerkelijk te starten is wel een sleutel nodig.

Wanneer de auto besteld wordt maakt de gebruiker een account aan wat slechts beschermd wordt door een wachtwoord van 6 karakters. Dit wachtwoord wordt gebruikt voor de mobiele app en het Tesla online account. De vrij verkrijgbare app kan de locatie van de auto bepalen maar ook bepaalde functies van de auto monitoren en beheren. Het wachtwoord is kwetsbaar voor de gebruikelijke aanvalsmethoden die gebruikt worden om toegang tot een computer of online account te verkrijgen. Zo is het bijvoorbeeld mogelijk het wachtwoord te raden via de Tesla website aangezien deze een ongelimiteerd aantal inlog-pogingen toestaat. "Het is nogal wat wanneer een auto van $100,000 slechts beveiligd wordt door een wachtwoord van 6 karakters" aldus Dhanjani.

Tesla wilde geen commentaar geven op de bevindingen van Dhanjani maar de woordvoerder Patrick Jones gaf per e-mail aan alle bevindingen van security onderzoekers uiterst serieus te nemen en nader te onderzoeken. "Samen met ons team van top-notch security professionals beschermen we onze producten en systemen tegen kwetsbaarheden. Ook werken we samen met de community van security onderzoekers en stimuleren we hen met ons te communiceren".

Reacties (4)
31-03-2014, 16:57 door Anoniem
Tesla staat wel bekend om goed op veiligeidsrisico's te reageren zoals met het vermeende brandgevaar, dit is natuurlijk een issue maar het is wel vreemd dat die onderzoeker het zo snel naar buiten brengt, dat is geen responsible disclosure, hij had Tesla nog wel iets meer tijd kunnen geven lijkt me en de reactie af kunnen wachten, als ze het haddeen gebagatteliseerd (wat uit dit artikel niet blijkt) had dit altijd nog publiek gemaakt kunnen worden om meer druk uit te oefenen.
31-03-2014, 17:08 door Anoniem
Vind het nogal een rare uitspraak 'top-notch security professionals' weten ook wel dat de basis (waar het allemaal begint) goed moet zijn. en een wachtwoord van 6 karakters niet voldoet.
Ik bedoel onze secretaresse weet dat ook en die heeft geen enkele IT/Security achtergrond..
dus zo Top-notch zal het niet zijn..
01-04-2014, 02:40 door D0rus
Ik vind vooral het ongelimiteerd aantal inlog pogingen twijfelachtig. Wachtwoord van 6 tekens neem ik aan dat je zelf kiest, dus kun je er ook 12 met rare takens ertussen nemen.
01-04-2014, 06:21 door Anoniem
Ze kunnen wel top-notch security professionals hebben maar wanneer een advies van hen niet opgevolgd wordt krijg je deze taferelen. Het is zeker niet ongebruikelijk maar natuurlijk blijven zulke professionals dan ook niet lang hangen bij zo'n bedrijf.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search