Dat krijg je ervan als je koopwaar veelvuldig bestempeld wordt als een ‘iPad op wielen’. Genoeg whizzkids die dan graag even aan je soft- en hardware komen rammelen.‘
Niet geheel toevallig werd onlangs op de SyScan-conferentie in Peking een bedrag van 10.000 dollar uitgeloofd aan de eerste die een Model S wist te hacken.
Het bedrijf Qihoo 360 Technology claimt dat het ze is gelukt. De Chinezen zeggen de Model S op de techconferentie op afstand te hebben ‘gehackt’, waarna de claxon, sloten en verlichting kon worden aangestuurd. Ook het schuifdak openen en sluiten was geen probleem. De gebruikte methode werd niet toegelicht, dus we weten niet in hoeverre de claims waarheidsgetrouw zijn, maar op Weibo – de Chinese variant van Twitter – werden wel een aantal afbeeldingen geplaatst.
Tesla heeft aangegeven dat ze de uitkomsten van de white hat hackers zullen onderzoeken en mogelijke kwetsbaarheden in de software desgewenst aanpassen. Tegenover Bloomberg verklaarden ze dat ze het geen probleem vinden dat er een hackwedstrijdje omtrent de Tesla Model S wordt georganiseerd, maar hopen wel dat de onderzoekers verantwoord met hun bevindingen zullen omgaan.
Het lijkt er sterk op dat Qihoo simpelweg een Tesla-gebruikersaccount heeft gekraakt, waarna je via de iOS- of Android-app diverse functies van de Model S op afstand kunt bedienen. Een dergelijke kwetsbaarheid in de accountbeveiliging werd onlangs al eens uitgelicht op Apparata.
Er is ongetwijfeld wel een boefje die voor deze hack 11000 dollar over heeft…
De verklaring zoals hier boven lijkt zeer plausibel, want dat is precies wat ik met de App kan.
Zonder details lijkt me dit idd gevalletje van simpel password op een account.
Ik vind het redelijk schandalig dat je dus blijkbaar vanaf ieder device de model S aan kan spreken. Je mag er toch wel vanuit gaan dat een smartphone eerst met de auto gekoppeld moet worden zodat alleen vertrouwde apparaten de auto kunnen bedienen?
@knipperlichtje: weet je dit zeker? lijkt me nogal raar idd
@knipperlichtje: ik ga er van uit dat een hacker die koppeling ook wel op de één of andere manier kan simuleren
@knipperlichtje: dat kan inderdaad, als je username en password kent. Dan nog, kun je de auto hoogstens open maken, rijden gaat niet. En bediening (behalve airco) is alleen mogelijk als de auto stil staat, niet tijdens rijden.
@12Esc: Pff, als je binnen bent, ram je een laptop aan de OBD aansluiting en rij je in 10s alsnog weg … * gaap *
@dawwg: niet bij de Tesla. Er is weliswaar een OBDII aansluiting omdat dat verplicht is, maar die doet niks (dat is blijkbaar niet verplicht..).
@12Esc: Zegt wie; de fabrikant ? En zelfs als die echt niets doet; dan ram je gewoon een stekker in de ECU. Toen mijn nieuwe MB na een week dacht ‘gestolen’ te zijn, moest er een nieuwe ECU uit Duitsland komen omdat zelfs de dealer er niets meer mee kon. Dat terwijl ik een veiligheidsonderzoeker ken die er met $10 aan hardware omheen kan …
@knipperlichtje: Dat koppelen met een specifieke telefoon lijkt mij ook wenselijk, maar ik ben bang dat je dat (voorlopig) alleen maar via bluetooth kunt doen. En dan is de praktische reikwijdte maar iets van 10 meter dus dan ga je een beetje aan het idee van ‘op afstand besturen’ voorbij.
Het zou wel een hoop problemen oplossen als dat op grotere afstand ook zou werken.
@Gulli: zou via internet/cloud/wifi ook kunnen op basis van Macaddress de koppeling tussen auto en device kunnen maken, maar ook die kan je clonen, anyway als IT security officer durf ik wel te stellen dat niets 100% is te beveiligen, als het technish kan dan houden we de mens als probleem over. Social engineering zoals wij het ontfutselen van gevens bij memsen noemen
@thierryvth: Mac adres, EMEI, allemaal kansloos; wel zouden ze een PKI kunnen gebruiken ala SSH (username + password + certificaat) icm SSL pinning.
@dawwg: ging niet om een IT cursus ging ff om de simpele koppeling tussen 2 devices als unieke apparaten dat je daar geen blue tooth voor nodig heb, maar opzich is het behoorlijk te beveiligen met certificaten dat klopt ja
Alle digitale beveiligingen worden uiteindelijk gekraakt.
Ik dacht dat Apple niet te hacken was? (nu weet ik wel beter, maar toch) Een Tesla is daarnaast ook van een heel ander kaliber dan een iPad, geen twee dingen die je moet combineren in een slecht gezegde..
en dan elke keer een porno filmpje laten zien als bootsequence
Ging niet om een IT cursus ging ff om de simpele koppeling tussen 2 devices als unieke apparaten dat je daar geen blue tooth voor nodig heb, maar opzich is het behoorlijk te beveiligen met certificaten dat klopt ja
@thierryvth: oohps dat moest een reactie op zijn …