Jump to content
AfterGlow

Hevder å ha tatt kontroll over 25 Tesla-biler i 13 land

Recommended Posts

Siden han nevner at 'det ikke er Teslas feil' så dreier det seg kanskje om tredjepartstjenester hvor brukere oppgir passordet til sin Teslakonto til tredjepart for at produktene deres skal fungere? (typisk styring av lading, uthenting av kjøretøydata)

Nå *tror* jeg også det er mulig å komme rundt det med å oppgi passord ved å generere en 'ticket'(for lenge siden jeg leste om dette til at jeg husker detaljene).

  • Like 2

Share this post


Link to post

Det ser ut som om han har fått tilgang til å gjøre alt man kan gjøre med Teslas egen app (og dets underliggende API). Så trolig er det rett og slett at han har fått tak i brukernavn/passord, f.eks. ved phishing. Derfra kan han jo gjøre hva han vil, som å generere tokens til APIet.

  • Like 3

Share this post


Link to post
linux-fan skrev (19 minutter siden):

Hvis man ikke bruker "Multi-factor Authentication" ?

Det er mulig å sette opp MFA på Teslakontoen ja, dokumentasjonen ser for så vidt greit ut men jeg lurer på om MFA vil kunne ta livet av enkelte tredjepartstjenester? 

  • Like 1

Share this post


Link to post

Selv om det er eiernes egen feil og ikke en sårbarhet hos Tesla, så kan Tesla sikkert gjøre mer for å hindre slik. For eksempel at nye enheter må verifiseres på en eller annen måte.

Kanskje man vil måtte godkjenne nye enheter manuelt i selve bilen?

Men dersom det har skjedd gjennom phishing eller lignende så sliter jo hele verden med dette.

Edited by hekomo
  • Like 2

Share this post


Link to post

En av mange ulemper med OTA, desverre. Spesiellt en som er såpass omfattende som Teslas. Vil nok bli mange utpressingssaker mot bileiere i årene som kommer.

  • Like 1

Share this post


Link to post
1 hour ago, AL123 said:

En av mange ulemper med OTA, desverre. Spesiellt en som er såpass omfattende som Teslas. Vil nok bli mange utpressingssaker mot bileiere i årene som kommer.

En av mange ulemper med OTA update? Javel? Ser ikke bort fra at du er den eneste som går i takt akkurat på det punktet. OTA update har så mange fordeler som bant annet Tesla eiere nyter godt av og jeg kan ikke komme på noen ulemper med OTA updates. Det er da også biler fra andre produsenter som er online, selv om de ikke er like gode på OTA updates. OTA updates rulles jo også ut av andre produsenter nå, så det må vi bare regne med blir fremtiden, og takk for det slik jeg ser det. 

Jeg tar heller alle fordelene med OTA update hos Tesla vs biler fra andre produsenter som har internettilgang men mangler OTA updates. Og ja, også biler uten OTA updates er blitt hacket. 

Begynner ikke det snart å bli litt slitsomt å hate på Tesla straks muligheten byr seg? 

Edited by bojangles
  • Like 4

Share this post


Link to post
bojangles skrev (24 minutter siden):

En av mange ulemper med OTA update? Javel? Ser ikke bort fra at du er den eneste som går i takt akkurat på det punktet. OTA update har så mange fordeler som Tesla eiere nyter godt av og jeg kan ikke komme på noen ulemper med OTA updates. Det er da også biler fra andre produsenter som er online, selv om de ikke er like gode på OTA updates. 

Jeg tar heller alle fordelene med OTA update hos Tesla vs biler fra andre produsenter som har internettilgang men mangler OTA updates. 

Begynner ikke det snart å bli litt slitsomt å hate på Tesla straks muligheten byr seg? 

Hva i all verden er det du babler om? Den artikkelen du kommenterer nå omtaler hacking av Tesla. Mener du det er en fordel at biler kan hackes?

  • Like 2

Share this post


Link to post
5 minutes ago, AL123 said:

Hva i all verden er det du babler om? Den artikkelen du kommenterer nå omtaler hacking av Tesla. Mener du det er en fordel at biler kan hackes?

I tilfelle du ikke leste hele artikkelen før du kastet deg over tastaturet. Hackern sier det skyldes brukerfeil, og at feilen ikke ligger i Tesla hw el sw. Uansett, så har jo historien vist oss at Tesla reagerer temmelig kjapt på slikt så det blir nok en OTA update som temmelig kjapt nå som hindrer eierne i å gjøre seg sårbare for hacking. 

Du er klar over at biler fra de fleste produsenter allerede er hacket? Også biler som er helt uten OTA update? 

Dessuten unnlot du å svare på spørsmålet. Du påstår det er mange ulemper ved OTA updates. Hvilke ulemper?

  • Like 5

Share this post


Link to post
AL123 skrev (1 time siden):

En av mange ulemper med OTA, desverre. Spesiellt en som er såpass omfattende som Teslas. Vil nok bli mange utpressingssaker mot bileiere i årene som kommer.

Dette angrepet har nok ingenting med OTA å gjøre, kun det at bilen er skytilkoblet helt uavhengig av hvordan den evt kan oppdateres.

  • Like 2

Share this post


Link to post
bojangles skrev (Akkurat nå):

I tilfelle du ikke leste hele artikkelen før du kastet deg over tastaturet. Hackern sier det skyldes brukerfeil, og at feilen ikke ligger i Tesla hw el sw. Uansett, så har jo historien vist oss at Tesla reagerer temmelig kjapt på slikt så det blir nok en OTA update som temmelig kjapt nå som hindrer eierne i å gjøre seg sårbare for hacking. 

Du er klar over at biler fra de fleste produsenter allerede er hacket? Også biler som er helt uten OTA update? 

Dessuten unnlot du å svare på spørsmålet. Du påstår det er mange ulemper ved OTA updates. Hvilke ulemper?

Brukerfeil i dette tilfellet, ja. Men hadde ikke vært mulig uten OTA. Dessuten er det i prinsippet mulig å ta over alle funksjoner i en Tesla for en hacker som er dyktig nok, og som kjenner arkitekturen. Andre ulemper har vært diskutert tidligere. At bilfabrikkene leverer fra seg betaprodukter i mye større grad en tidligere, fremfor biler som er skikkelig testet og utviklet. At bilprodusentene får større kontroll over produktet, noe som kan vanskeliggjøre reparasjoner og modifiseringer for uavhengige, samt at proteksjonistiske produsenter kan endre produktene uten tillatelse fra kundene. Blandt annet.

  • Like 2

Share this post


Link to post
mr. papp skrev (3 minutter siden):

Dette angrepet har nok ingenting med OTA å gjøre, kun det at bilen er skytilkoblet helt uavhengig av hvordan den evt kan oppdateres.

Der tar du feil.

  • Like 1

Share this post


Link to post
AL123 skrev (25 minutter siden):

Der tar du feil.

Begrunn gjerne hvorfor det samme ikke kan gjøres på hvilken som helst bil som har en app men ikke har OTA.

  • Like 3
  • Heart 1

Share this post


Link to post
mr. papp skrev (2 minutter siden):

Begrunn gjerne hvorfor det samme ikke kan gjøres på hvilken som helst bil som har en app men ikke har OTA.

Fordi i en vanlig bil med nettilgang har man ikke direkte tilgang til alle bilens komputere direkte gjennom bus-netverket, slik man har i en Tesla. Å hacke en bil for å slå av radioen, navigasjonen eller blokkere nødanrop er tross alt ikke like alvorlig som å kunne ta over alle funksjoner på bilen, eller legge inn nye funksjoner.

  • Like 2

Share this post


Link to post

Altså, er det snakk om "hacking" av bileiernes brukernavn og passord for å logge på Tesla-appen? Iom. at det kun er snakk om 25 brukere fyren har klart å få tilgang på...

  • Like 1

Share this post


Link to post
31 minutes ago, AL123 said:

Brukerfeil i dette tilfellet, ja. Men hadde ikke vært mulig uten OTA. Dessuten er det i prinsippet mulig å ta over alle funksjoner i en Tesla for en hacker som er dyktig nok, og som kjenner arkitekturen.

Ikke alle funksjoner. Ikke f.eks styring og bremsing, ettersom dette er implementert i mekanikk. (Men bremsekraftforsterker og styreservo kan i teorien tukles med, slik at det blir vanskeligere å operere bilen.)

Og det er ganske teoretisk at man kan ta kontroll over det aller aller meste av funksjonalitet. Tesla er en av de bilprodusentene som har mest fokus på datasikkerhet, og deltar f.eks på hacking-messer som Pwn2Own og gir belønning for svakheter som man klarer avdekke. Skulle man f.eks forsøke tukle med Autopilot-datamaskinen så må man blant annet komme seg forbi dedikerte krypteringbrikker.

  • Like 5

Share this post


Link to post
12 minutes ago, MrMarbles said:

Altså, er det snakk om "hacking" av bileiernes brukernavn og passord for å logge på Tesla-appen? Iom. at det kun er snakk om 25 brukere fyren har klart å få tilgang på...

Ja, høres ut som noe slikt. Antar Tesla ikke vil endre på noenting på sin side, bare informere eierne det gjelder om å endre passord.

  • Like 1

Share this post


Link to post

Trykker man litt i twitter trpden så ser man fort at det skyldtes en konfigurasjonsfeil i Teslamate https://github.com/adriankumpf/teslamate/commit/fff6915e7364f83b3030f980d5743299c4e5260d hvor dashboardet tillot login uten passord. Dermed kunne man søke på internett etter slike dashboard og så hente ut token til bilen.

Twitter link: 

Meeeeeeget liten sikkerhetsfeil, er ikke verdt noe nyhetssak

Edited by mathiash98
  • Like 3
  • Innsiktsfullt 1

Share this post


Link to post
Espen Hugaas Andersen skrev (12 minutter siden):

Ikke alle funksjoner. Ikke f.eks styring og bremsing, ettersom dette er implementert i mekanikk. (Men bremsekraftforsterker og styreservo kan i teorien tukles med, slik at det blir vanskeligere å operere bilen.)

Og det er ganske teoretisk at man kan ta kontroll over det aller aller meste av funksjonalitet. Tesla er en av de bilprodusentene som har mest fokus på datasikkerhet, og deltar f.eks på hacking-messer som Pwn2Own og gir belønning for svakheter som man klarer avdekke. Skulle man f.eks forsøke tukle med Autopilot-datamaskinen så må man blant annet komme seg forbi dedikerte krypteringbrikker.

Man kan selsagt ta over både styring og bremser, men servomotoren er heldigvis så svak at man kan holde den under kontroll til man har fått bremset ned, og en hacker kan ikke hindre sjåføren i å bremse, men vedkommende kan bremse bilen. En annen ting er at bilen vil kunne fjernstyres uten sjåfør i bilen, slik at tyveri av bilen vil bli enklere og mye mindre risikofyllt. Er det noe de siste årene har vist oss, så er det uansett at få ting er umulige å hacke, med mindre man reduserer brukervennligheten betydelig.

Share this post


Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Loading...

×
×
  • Create New...