image

Onderzoekers breken via drone in op geparkeerde Tesla

woensdag 5 mei 2021, 13:51 door Redactie, 11 reacties

Onderzoekers hebben laten zien hoe ze via een drone op een geparkeerde Tesla kunnen inbreken. Tesla heeft de kwetsbaarheden die de aanval mogelijk maakten inmiddels via een firmware-update verholpen. Het gaat om een zogenoemde "remote zero-click" aanval waarbij er geen interactie van de Tesla-eigenaar is vereist om het voertuig te compromitteren.

Onderzoekers Ralf-Philipp Weinmann van Kunnamon en Benedikt Schmotzle van Comsecuris wilden hun aanval eigenlijk tijdens de Pwn2Own-hackwedstrijd van vorig jaar al demonstreren, maar die werd wegens de coronapandemie afgezegd. Daarop waarschuwden de onderzoekers Tesla, dat eind oktober vorig jaar met firmware-update 2020.44 kwam om de problemen te verhelpen.

De onderzoekers noemen hun aanval TBONE en kunnen daarmee geparkeerde Tesla's via wifi openen en het infotainmentsysteem overnemen. Ook is het mogelijk om de airconditioning te bedienen, stoelposities te veranderen en de stuur- en versnellingsmodes aan te passen. Het is niet mogelijk om met de auto weg te rijden. Voor de aanval maken de onderzoekers gebruik van beveiligingslekken in ConnMan, een lichtgewicht manager voor netwerkverbindingen van embedded apparaten. Het biedt zowel een DHCP-server als een DNS-forwarder.

"We maken misbruik van het feit dat moderne Tesla-auto's, zoals de Model 3, automatisch verbinding maken met de "Tesla Service" wifi, gecombineerd met twee kwetsbaarheden in onderdelen van de ConnMan-daemon, om remote code execution op het CID (Infotainment): een stack overflow in de DNS-forwarder en een stack infoleak in het DHCP-onderdeel te krijgen", aldus de onderzoekers in hun whitepaper. Ze stellen dat controle over ConnMan veel meer mogelijkheden biedt dan andere non-root daemons en het mogelijk maakt om de firewall uit te schakelen, routeringstabellen aan te passen en kernelmodules te laden of weer uit te zetten.

Via de aanval zou het ook mogelijk zijn om nieuwe wifi-firmware te laden, waardoor de aangevallen Tesla in een accesspoint kan worden veranderd om andere Tesla's in de buurt mee aan te vallen. De onderzoekers besloten om een dergelijke worm niet te ontwikkelen. Wel lieten ze zien hoe ze door middel van een drone op afstand een Tesla kunnen aanvallen. De drone bevat een accesspoint met de naam Tesla Service waarmee geparkeerde Tesla's automatisch verbinding maken, waarna de exploit wordt uitgevoerd. Het uitvoeren van de exploit neemt zo'n 30 tot 45 seconden in beslag. In onderstaande video wordt de aanval gedemonstreerd.

Image

Reacties (11)
05-05-2021, 14:24 door Anoniem
Helaas gaan we dit in de toekomst steeds meer zien. Ondanks dat iedereen die ook maar iets van veiligheid en privacy weet onderkent dat auto's en software geen goed huwelijk zijn, gaat dat toch de toekomst zijn. Je wordt van moment tot moment gevolgd door je autofabrikant en anders wel door criminelen die de controle over jouw voertuig kunnen overnemen. Geef mij maar een oude diesel.
05-05-2021, 15:45 door Anoniem
Door Anoniem: Helaas gaan we dit in de toekomst steeds meer zien. Ondanks dat iedereen die ook maar iets van veiligheid en privacy weet onderkent dat auto's en software geen goed huwelijk zijn, gaat dat toch de toekomst zijn. Je wordt van moment tot moment gevolgd door je autofabrikant en anders wel door criminelen die de controle over jouw voertuig kunnen overnemen. Geef mij maar een oude diesel.
Die een oude autodief in 10 seconden open heeft en mee weg rijdt, met alleen maar wat grofstoffelijk gereedschap!
05-05-2021, 15:52 door Anoniem
Door Anoniem: Helaas gaan we dit in de toekomst steeds meer zien. Ondanks dat iedereen die ook maar iets van veiligheid en privacy weet onderkent dat auto's en software geen goed huwelijk zijn, gaat dat toch de toekomst zijn. Je wordt van moment tot moment gevolgd door je autofabrikant en anders wel door criminelen die de controle over jouw voertuig kunnen overnemen. Geef mij maar een oude diesel.
Die werden nooit gestolen tenslotte (zucht)
05-05-2021, 16:20 door Anoniem
oude diesels gebruiken geen smartphone.......?
05-05-2021, 16:54 door Anoniem
Ja pffff heel kortzichtig , die dief reed ook met jou en je familie weg :) , dat word in de toekomst nog een issue met de zelfrijdende meuk waarom moet je nog een rijbewijs voor hebben dan. Laat dat chip tekort maar toenemen :) . Persoonlijk denk ik dat waterstof veel schoner is in het geheel en ja kost ook stroom met opwekken.
05-05-2021, 19:03 door Anoniem
Door Anoniem: Ja pffff heel kortzichtig , die dief reed ook met jou en je familie weg :) , dat word in de toekomst nog een issue met de zelfrijdende meuk waarom moet je nog een rijbewijs voor hebben dan. Laat dat chip tekort maar toenemen :) . Persoonlijk denk ik dat waterstof veel schoner is in het geheel en ja kost ook stroom met opwekken.
https://nl.wikipedia.org/wiki/Waterstofauto#Nadelen
en
https://nl.wikipedia.org/wiki/Waterstofauto#Vijf_keer_hoger_elektriciteitsverbruik_ten_opzichte_van_een_batterijauto
06-05-2021, 14:48 door Freud
Hier zie je wel de kracht van Tesla in het fixen en pushen van een update. Hierin zie je terug dat Tesla software als softwareleverancier benadert en niet als een autobouwer die ook toevallig software bouwt. Hoeveel andere merken zijn al zo ver met snelle en veilige OTA updates?
06-05-2021, 21:38 door Anoniem
Door Anoniem: Ja pffff heel kortzichtig , die dief reed ook met jou en je familie weg :) , dat word in de toekomst nog een issue met de zelfrijdende meuk waarom moet je nog een rijbewijs voor hebben dan. Laat dat chip tekort maar toenemen :) . Persoonlijk denk ik dat waterstof veel schoner is in het geheel en ja kost ook stroom met opwekken.
Ik zou toch serieus onderzoek doen naar de nadelen van waterstof. Zowel in het fabriceren, opslaan, vervoeren en gebruiken.
Kijk alleen maar eens naar het onderhoudbehoefte van een waterstofauto.
De techniek wordt al serieus 20 a 30 jaar gesubsidieerd en zijn in de afgelopen 10 jaar niet voor niets voorbij gelopen door BEV.
06-05-2021, 23:27 door Anoniem
Hoeveel andere merken sturen hun auto's de weg op met zulke slechte software?
07-05-2021, 10:30 door Anoniem
Door Anoniem: Hoeveel andere merken sturen hun auto's de weg op met zulke slechte software?
Lees even hoe slecht de ID3 software was bij de release. Eigenaren konden gewoon hun eigen auto niet in door software errors.
11-05-2021, 11:34 door Xenomatrix
Door Anoniem: Hoeveel andere merken sturen hun auto's de weg op met zulke slechte software?
Wees bij dat Bill Gates zich hier nog niet mee bemoeid heeft.

"De remmen doen het niet, Windows probeert het zelf over 5 seconden opnieuw"

"De benzine is op, Wilt u doorrijden ? ( J,N )"

De automobiel van Henry Ford was zo gek nog niet ... ;-)
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.