Tesla patcht beveiligingslekken in Model S via update
Auto's van fabrikant Tesla zijn goed beveiligd tegen hacking, aldus twee onderzoekers die er uiteindelijk met veel moeite wel in slaagden een Tesla Model S te hacken. Marc Rogers van Cloudflare en Kevin Mahaffey van Lookout Mobile ontdekten in totaal zes kwetsbaarheden in de Tesla, zo laten ze vandaag via een blogposting weten. De twee onderzoekers zullen hun bevindingen deze week tijdens de Def Con conferentie in Las Vegas presenteren.
Voor het onderzoek, dat zo'n 2 jaar in beslag nam, moesten ze de auto letterlijk uit elkaar halen. Via de beveiligingslekken kregen ze volledige controle over het infotainmentsysteem van de auto. Vervolgens installeerden ze malware die op afstand was te bedienen en waarmee ze alle acties konden uitvoeren die ook via het touchschreen of de smartphone-app van de Tesla konden worden uitgevoerd. Zo was het mogelijk om de auto uit te schakelen terwijl die aan het rijden was, zo laten de onderzoeker tegenover Forbes weten.
Naast de vereiste fysieke toegang ontdekten de onderzoekers dat het ook mogelijk was om het infotainmentsysteem op afstand aan te vallen. Het systeem gebruikte een kwetsbare browser met een vier jaar oud WebKit-lek, zo meldt Wired. Hierdoor zou een aanvaller de auto op afstand kunnen aanvallen als een Tesla-gebruiker vanuit de auto een kwaadaardige website zou bezoeken. In dit geval zou het ook mogelijk zijn om op afstand de motor te starten of uit te schakelen.
De onderzoekers ontdekten dat Tesla echter een beveiligingsmaatregel had ingevoerd. In het geval de motor wordt uitgeschakeld terwijl de auto aan het rijden is, wordt de handrem actief en zet de auto stil als de snelheid onder de 8 kilometer per uur komt. De onderzoekers rapporteerden de problemen aan Tesla, dat inmiddels een update heeft uitgebracht. In tegenstelling tot Chrysler, dat vanwege beveiligingsproblemen 1,4 miljoen auto's moest terugroepen zodat die via een USB-stick konden worden geüpdatet, brengt Tesla updates "over-the-air" uit en hoeven klanten hun voertuig niet terug naar de dealer te brengen. Ze moeten de update echter wel accepteren, er vindt namelijk geen automatische installatie plaats.
Om over the air updates te kraken moet er over het algemeen dit gedaan worden:
1. Private key van de server die de updates signed.
Deze server zou niet aan een netwerkverbinding moeten houden, dus de server hacken en de key eruit halen zou uitermate moeilijk moeten zijn en vrij eenvoudig detecteerbaar.
Waarschijnlijk is het in hardware onmogelijk gemaakt om de private key te extracten en zal dus je malware op de Tesla server gesigned moeten worden, wat detectie nog eenvoudiger maakt.
De private key bruteforcen is in ieder geval de komende decenia geen optie, misschien dat je een kans hebt met een quantumcomputer, maar dat is op zijn best een wilde gok.
2. Je moet de verbinding naar de updateserver kunnen onderscheppen.
Daarvoor moet je of een MitM aanval op een mobiel netwerk uitvoeren, of toegang hebben tot de Tesla updateserver of een hyjack doen van bijv een DNS of ip adres reeks.
Dat 2e is een stuk eenvoudiger, maar ook simpel te detecteren.
Een update namaken is dus nog niet zo simpel en vrijwel altijd eenvoudig detecteerbaar.
Ik denk dat het eenvoudiger is de auto's fysiek te modificeren, ook in grotere getalen dan het updatemechanisme misbruiken.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.