Tesla is op de hoogte gesteld van de zwakheden en heeft een beveiligingsupdate uitgerold. | © Shutterstock
Onderzoekers van COSIC, een onderzoeksgroep van KU Leuven en imec, hebben ernstige beveiligingsproblemen ontdekt in de draadloze autosleutel van de Tesla Model X. Dezelfde onderzoekers hadden eerder de sleutel van de Tesla Model S gehackt. Ze tonen nu aan hoe de beveiliging van de meer recente Tesla Model X kan worden omzeild. Met hun aanval kan de Tesla Model X, met een waarde van 100.000 dollar, in een paar minuten worden gestolen. Tesla heeft een software-update uitgebracht om deze problemen op te lossen.
Als de eigenaar van een Tesla Model X met de autosleutel dicht bij zijn voertuig komt of op de knop van de autosleutel drukt, wordt de auto automatisch ontgrendeld. Dit is gelijkaardig aan andere autosleutels. De Tesla Model X-sleutel gebruikt hiervoor Bluetooth Low Energy (BLE). Dit maakt het mogelijk voor de autofabrikant om ook een smartphone-app als sleutel aan te bieden.
Met behulp van een aangepaste Electronic Control Unit (ECU), verkregen uit een Tesla Model X-wrak, konden de onderzoekers draadloos (tot een afstand 5 meter) sleutels zichzelf laten aankondigen als een beschikbaar BLE-toestel. Door reverse engineering van de Tesla Model X-sleutel ontdekten ze dat de BLE-interface het mogelijk maakt om op afstand updates uit te voeren van de software op de BLE-chip. Omdat dit updatemechanisme niet goed beveiligd was, kon een sleutel draadloos worden gehackt en konden de onderzoekers de controle ervan volledig overnemen. Zo verkregen ze geldige ontgrendelingsberichten die toelaten om de auto te openen.
Vervolgens maakten de onderzoekers een verbinding met de diagnostische interface in de auto die wordt gebruikt door onderhoudstechnici. Door een kwetsbaarheid in de implementatie van het verbindingsprotocol kon een andere gemodificeerde sleutel aan de auto worden gekoppeld, waardoor ze permanente toegang krijgen en met de auto kunnen wegrijden.
De aanval werkt als volgt. Op 5 meter afstand sturen de onderzoekers een bericht om de sleutel van het doelwit te activeren. Daarna sturen ze hun software naar die sleutel om de controle ervan over te nemen. Dit proces duurt anderhalve minuut en kan gemakkelijk worden uitgevoerd over een afstand van meer dan 30 meter. Door het hacken van de sleutel ontvangen de onderzoekers berichten om de auto te kunnen openen. Daarna maken ze een koppeling met de diagnose-aansluiting in het voertuig. Vervolgens kunnen ze een aangepaste sleutel aan de auto verbinden. Met deze aangepaste sleutel kunnen ze de wagen starten en wegrijden. Door gebruik te maken van twee zwakke punten in de Tesla Model X-sleutel is het dus mogelijk om de auto stelen in een paar minuten.
De aanval werd gedemonstreerd met een zelfgemaakt toestel bestaande uit goedkope hardware (zoals gedemonstreerd wordt in de video): een Raspberry Pi-computer (€30) met een CAN-schild (€25), een aangepaste sleutel, een ECU van een autowrak (€90 op eBay) en een LiPo-batterij (€25).
Tesla is op de hoogte gesteld van deze zwakheden. Tesla heeft de problemen bevestigd en een Bug Bounty toegewezen aan de onderzoekers. Om de problemen op te lossen heeft Tesla een beveiligingsupdate ontwikkeld. Als onderdeel van de 2020.48 over-the-air software-update, die nu wordt uitgerold, stuurt de auto een firmware-update naar de sleutel.
Advertentie
Sterke trillingskracht voor beter gevoel
CO2 -meting, ventilatie en COVID-19
Soldeeroppervlak en soldeermaskers bij BGA's
Luchtlekken en ontladingen in beeld
Duurzame opslag van levensmiddelen en medicijnen
Als de winkel om de hoek
RS Components neemt veel werk uit handen
Garages zijn goede plekken om een bedrijf te beginnen, tenminste als je kijkt naar de geschiedenis van een aantal grote bedrijven van vandaag de dag. Ongeveer in dezelfde tijd als de geboorte van Silicon Vally in de USA, en wel in 1937, ontstond er in een Engelse garage een bedrijfje dat zich specialiseerde in het leveren van onderdelen aan reparateurs van radio's. "A replacement for every job and a 24 hours' service on top of it!" was in 1937 de basis en vandaag de dag zijn dit nog altijd de pijlers waar het bedrijf op rust, al is er wel wat veranderd.
Lees verder >>
Siemens Nederlands N.V.
Lead Engineer Electrical
Als Lead Engineer Electrical ben jij verantwoordelijk voor de engineering en realisatie van onze uitdagende projecten op het gebied van energiedistributie in de datacenterbranche. Jij draagt zorg voor de technische oplossing. Je voert het werk gedeeltelijk zelf uit en bent daarnaast verantwoordelijk voor het aansturen van de engineers binnen het projectteam. Meer informatie
ASML
Group Leader Electronics and Software Development ASML Delft
Do you take the lead in getting technical issues solved and are you able to inspire people? Do you see the big picture without missing the important details and are you capable to deploy complex electrical and software projects? Then you might be the one to join ASML's Delft department.
Click on this link for more information.
Lees hier de meest recente editie van e-totaal magazine!
U scrollt eenvoudig door de verschillende artikelen en via de actieve hyperlinks komt u direct in contact met de verschillende leveranciers en adverteerders.
Veel leesplezier!
Wilt u de papieren editie gratis ontvangen, vul dan uw gegevens in via het contact formulier .
Terwijl de coronavirus-pandemie zich over de hele wereld verspreidt, vragen we ons steeds meer af hoe we onszelf en anderen thuis, op het werk of op andere ontmoetingsplaatsen veilig kunnen houden. Het desinfecteren en steriliseren van alle kamers waarin we verblijven en de objecten die we gebruiken met vloeistoffen op alcoholbasis is mogelijk, maar praktisch onmogelijk. Het is onmogelijk om elke plek te bereiken of simpelweg zijn niet alle oppervlakken en materialen geschikt om te bevochtigen. Kunnen de verworvenheden van moderne technologie op de een of andere manier bijdragen tot een verhoging van het veiligheidsniveau in onze omgeving?
Lees verder
Ontvang wekelijks het laatste nieuws uit uw vakgebied. Meld u hier aan voor de gratis nieuwsbrief. U wordt dan ook op de hoogte gehouden van het verschijnen van de nieuwe
e-zines.
Ondernemersinformatie over de Corona-crisis
Speciaal voor ondernemers, bedrijven en zzp'ers is er specifieke informatie omtrent de Corona-crisis te vinden (over o.a. de verschillende pakketten aan noodmaatregelen die het kabinet getroffen heeft).
Websites met meer informatie: