image

Bluetooth-aanval geeft onderzoekers toegang tot infotainmentsysteem Tesla

vrijdag 24 maart 2023, 21:37 door Redactie, 4 reacties

Onderzoekers van securitybedrijf Synacktiv hebben tijdens de Pwn2Own-wedstrijd in Vancouver laten zien hoe ze via bluetooth onbeperkte roottoegang tot het infotainmentsysteem van een Tesla kunnen krijgen. Voor hun demonstratie ontvingen de onderzoekers een beloning van 250.000 dollar en een Tesla.

Pwn2Own is een jaarlijks terugkerende wedstrijd waarbij onderzoekers worden beloond voor het laten zien van onbekende kwetsbaarheden in veelgebruikte software. Dit jaar zijn er weer verschillende categorie├źn, namelijk virtualisatiesoftware, webbrowsers, zakelijke applicaties (Adobe Reader en Office 365), serversoftware, zakelijke communicatiesoftware (Zoom en Teams) en de Tesla Model 3 en Model S.

De hoogste beloning is te verdienen met een aanval op de Tesla's. Het gaat om een bedrag van in totaal 600.000 dollar. Pwn2Own werkt met verschillende "tiers". Hoe complexer de aanval, hoe hoger de beloning. De onderzoekers van Synacktiv demonstreerden een aanval in "Tier 2", waarbij ze via bluetooth het infotainmentsysteem via een heap overflow en een out-of-bounds write compromitteerden.

Verdere details over de aanval zijn niet gegeven. Die worden eerst met Tesla gedeeld, zodat het bedrijf een beveiligingsupdate kan ontwikkelen. Tijdens de eerste dag van Pwn2Own wisten onderzoekers van Synacktiv de gateway van de Tesla via ethernet te compromitteren, wat hen een "Tier 3" beloning van 100.000 dollar en de Tesla opleverde.

Reacties (4)
25-03-2023, 10:50 door spatieman
je heft een tesla dan niet meer te stelen, je logt in, en geeft opdracht om naar een bepaald adres te rijden, hehe..
25-03-2023, 13:09 door Anoniem
Door spatieman: je heft een tesla dan niet meer te stelen, je logt in, en geeft opdracht om naar een bepaald adres te rijden, hehe..
Laat me helpen voorkomen dat politie en justitie je hevig gaan teleurstellen door het nu al aan je te verklappen: dat is nog steeds stelen.
27-03-2023, 08:54 door Anoniem
Gelukkig kan de gemiddelde scriptkiddie geen heap overflow aanval uitvoeren...
27-03-2023, 10:53 door Anoniem
Dit betekent: "Gelukkig kan het gemiddelde scriptkiddie geen heap overflow aanval uitvoeren."

In deze zin worden een aantal termen gebruikt die betrekking hebben op computerveiligheid en cyberaanvallen. Ik zal ze uitleggen:

Scriptkiddie: Dit is een term die wordt gebruikt om iemand te beschrijven die weinig of geen diepgaande kennis heeft van computers of programmeren, maar die toch probeert om systemen te hacken of te compromitteren met behulp van tools en scripts die zijn geschreven door anderen. Meestal zijn scriptkiddies niet in staat om geavanceerde aanvallen uit te voeren of beveiligingsproblemen op te lossen.

Heap overflow aanval: Dit is een type cyberaanval waarbij een aanvaller een programma exploiteert door meer data in een geheugenbuffer (de heap) te plaatsen dan er ruimte voor is. Hierdoor kunnen gegevens in aangrenzende geheugenlocaties worden overschreven, wat kan leiden tot onvoorspelbaar gedrag, crashes of zelfs het uitvoeren van kwaadaardige code.

De zin geeft dus aan dat gelukkig de gemiddelde scriptkiddie niet in staat is om een geavanceerde cyberaanval uit te voeren, zoals een heap overflow aanval.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.