Így lehetett ellopni egy Teslát pár perc alatt

​Biztonsági kutatók egy olyan hibát fedeztek fel, aminek kihasználásával néhány perc alatt el lehetett lopni egy Tesla Model X-et. A gyártó már javította a sebezhetőséget.
 

A kulcsnélküli indítást lehetővé tevő gépkocsik, valamint az okosautók már több éve egyre kedveltebb célpontja a hackereknek. Vannak, akik olyan hibák után kutatnak, amikkel az autókat meg lehet lovasítani, és vannak, akik az okosautók manipulálására alkalmas módszerek kidolgozásával foglalatoskodnak.
 
A belgiumi COSIC (Computer Security and Industrial Cryptography) csoport szakértői már 2018-ban beszámoltak egy olyan rendellenességről, amelynek révén a Model S kulcsai pár másodperc alatt klónozhatók voltak. 2019-ben ezt a módszerüket továbbfejlesztették, idén pedig a Model X-re hangolódtak rá. Nem is hiába, hiszen egy olyan sérülékenységet tártak fel, aminek kihasználásával néhány percen belül meglovasíthatóvá váltak a szóban forgó gépkocsik. Itt kell megemlíteni, hogy a kutatók a felfedezésüket augusztus közepén jelezték a Tesla illetékesei számára. Azóta a fejlesztők kiadták a hibajavítást (2020.48-as verziót), ami az érintett okosautókra a szokásos frissítési csatornákon keresztül elkezdett felkerülni.
 
A biztonsági szakemberek elmondták, hogy a sérülékenység a Tesla Model X kulcsában (key fob) volt kimutatható, amely BLE (Bluetooth Low Energy) révén kommunikál a járművel. Első lépésként elérték, hogy a kulcs egy csatlakozás fogadására kész Bluetooth eszközként jelenjen meg az éterben, majd elkezdődhetett a hiba kihasználása. A sebezhetőséget az okozta, hogy a kulcsban lévő Bluetooth chip távolról különösebb erőfeszítés nélkül frissíthető volt. Ennek következtében a szakemberek felül tudták írni a kulcsban lévő firmware-t, majd némi trükközést követően kinyitották az ajtót. Ezt követően a diagnosztikai interfészen keresztül párosították a kulcsot az autóhoz, majd gond nélkül beindították a teszt célokat szolgáló járművet.

 
A kutatók annyit elárultak, hogy a feltárt sérülékenységben rejlő lehetőségek kiaknázásához, vagyis az autólopáshoz mindössze 200 dollár értékű hardverre volt szükségük, beleértve egy Raspberry Pi-t, az akkumulátort, a CAN-eszközöket és egy tartalék Tesla kulcsot is.
 
A kutatók által bemutatott támadás a frissített gépkocsik esetében már nem működik. Azonban az eset jól rávilágít arra, hogy az okosautók esetében is kritikus fontosságú a biztonság szem előtt tartása.
Vélemények
 
  1. 3

    A GitLab egy közepes veszélyességű sérülékenységet orvosolt.

  2. 5

    A SonicWall egy súlyos, nulladik napi sebezhetőségről számolt be.

  3. 2

    ​A CobraLocker zsarolóvírus a felhasználó féltve őrzött fájljainak titkosítását követően váltságdíjat követel.

 
Partnerhírek
​7 mód, ahogyan a kártevők bejuthatnak az eszközeinkbe

A legtöbben hallottak már a különféle kártevőkről és veszélyeikről, de vajon az is köztudott, hogy ezek hogyan, milyen módon férkőznek be az eszközökbe? Az ESET szakértői bemutatják a legnépszerűbb módszereket.

Nyílt pályázati felhívás - "Az év információbiztonsági újságírója 2021"

Az idén már tizenhatodik alkalommal hirdetünk pályázatot a cím elnyerésére, melyre bármely magyarországi médiában (elektronikus vagy nyomtatott sajtó) információ- és adatvédelem, információbiztonság témában publikáló újságíró jelentkezhet.

hirdetés
Közösség