Tesla dicht beveiligingslek in Model S via firmware-update
Tesla heeft onlangs een beveiligingslek in de Model S gepatcht waardoor het mogelijk was voor een aanvaller om de software en stuurfuncties van de auto op afstand te bedienen. Dat laat het Industrial Control Systems Cyber Emergency Response Team (ICS-CERT) van de Amerikaanse overheid weten.
De kwetsbaarheid bevindt zich in de Gateway engine control unit (ECU) en zou via de browser kunnen worden aangevallen. Via het beveiligingslek kan een aanvaller malware installeren, waarmee het vervolgens mogelijk is om opdrachten naar de CAN-bus van het voertuig te sturen. Volgens het ICS-CERT is het lastig voor een aanvaller om de kwetsbaarheid uit te buiten, aangezien er een complexe keten van exploits is vereist, waaronder een hack van de browser, een exploit voor het verhogen van de rechten op het systeem en een zelfontwikkelde firmware.
De kwetsbaarheid werd halverwege september door onderzoekers van het Chinese beveiligingsbedrijf Keen Security Lab gedemonstreerd. In een demonstratie laten de onderzoekers zien hoe ze op afstand het dak, de lichten, ruitenwissers, stoel, deuren, kofferbak en remmen bedienen. Volgens het ICS-CERT heeft Tesla op 18 september firmware-updates over-the-air uitgebracht. Eigenaren krijgen dan ook het advies om de laatste firmware te installeren en totdat is gedaan de browser niet te gebruiken. Voor zover bekend zijn er echter geen exploits openbaar die van het lek misbruik maken.
dus, schakel gewoon die web functionaliteit uit.
Je hebt toch niets online te zoeken als je aan het autorijden bent.
*shitstorm imminent*
De tijd dat de technische staat van een auto alleen via de werkbrug en crashtesten voldoende bepaald kan worden ligt inmiddels jaren achter ons. Zowel de Europese als landelijke vorming van essentiele komt niet van de grond want de politici en beleidsmakers die er over gaan snappen de materie niet en de keuringsinstanties die in horen te staan voor toelating op grond van de technische staat hebben al helemaal geen benul wat voor risico's er in dit soort IoT functionaliteiten schuilt.
Op dit moment is het lucratiever om beveiligingslekken die de technische staat van voertuigen beinvloeden aan fabrikanten te melden. Wie durft het risico aan dat er geen melding komt en er slachtoffers vallen? Het laatste is de weg die de politiek en de keuringsinstanties kiezen. Het is namelijk goedkoper om geen aandacht te schenken aan de ondeugedlijke technische staat van computers. Handel gaat voor veiligheid.
Dat is natuurlijk een non-argument: omdat het nu niet veilig is vooral maar nooit meer doen. De eerste honderd jaar vielen de vliegtuigen ook bij bosjes uit de lucht. Zou een beetje jammer zijn geweest als ze na de 100ste crash 't bijltje er bij neer hadden gegooid en zich volledig hadden gestort op fietsen, niet?
Net zoals Rule 34 bestaat zou er ook een Rule35 moeten zijn: alles wordt beter als er internet op zit. Je moet alleen even wat aandacht besteden aan de beveiliging...
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.