Dankzij dit trucje kan je Tesla gestolen worden.
De ‘goede’ oude tijd van een sleutel omdraaien om een auto in te komen ligt ver achter ons. Auto’s zijn rijdende computers geworden en daar ligt ook een kwetsbaarheid. Autofabrikanten zijn genoodzaakt de cyberveiligheid up-to-date te houden. Doen ze dit niet, dan zijn de gevolgen niet te overzien.
Tesla stelen
Een beetje autodief gaat niet zitten prutsen met gereedschap bij een slot. Die zit lekker achter een laptop met een kop koffie, de volgende aanval voor te bereiden. Veiligheidsonderzoekers Tommy Mysk en Talal Haj Bakry van het bedrijf Mysk Inc. zijn erin geslaagd een Tesla te stelen aan de hand van een hack. In een YouTube-video maken ze hun bevindingen bekend.
Zo werkt het
De onderzoekers gebruiken WiFi om toegang te krijgen tot de Tesla, terwijl de eigenaar niets doorheeft dat zijn digitale sleutel ondertussen gekopieerd wordt. Hoe? Bij allerlei openbare laadstations kun je gebruik maken van gratis WiFI. Kun je lekker YouTube video’s kijken of Netflixen terwijl de Tesla aan de lader hangt.
Daar komt de hacker in beeld. Met de tool Flipper Zero (of een Raspberry Pi of een vergelijkbare tool) maakt de hacker een eigen WiFI-netwerk aan onder de naam Tesla Guest. De Tesla-rijder bij het laadstation denkt te verbinden met een openbaar netwerk, terwijl dit een vooropgezet plan is van de autodief.
Eenmaal verbonden met het internetnetwerk moet je een verplicht formulier invullen om toegang te krijgen tot het internet. Vrij gebruikelijk bij een internethotspot, dus daar is niets vreemds aan. De nietsvermoedende Tesla-rijder vult zijn of haar gebruikersgegevens, inclusief de twee-factor verificatie, in. De hacker aan de andere kant ontvangt op deze manier de gebruikersnaam en wachtwoord en een code voor de twee-factor verificatie. Vervolgens heeft de dief een paar seconden te tijd om in te loggen in de Tesla app met de verificatiecode, want deze verloopt snel.
Eenmaal ingelogd in de Tesla app heeft de hacker toegang tot de auto in een virtuele omgeving. En daarmee kunnen ze een digitale sleutel aanmaken. De nietsvermoedende Tesla-rijder laten ze rustig laden. De Tesla in kwestie kan vervolgens op een later moment, bijvoorbeeld in de nacht, gestolen worden. De digitale sleutel geeft immers toegang en de app geeft de locatie van de auto door.
Tesla doet niks
Tesla heeft gereageerd op de video van de onderzoekers en zegt dat dit geen (groot) issue is. De Amerikaanse autobouwer gaat in elk geval geen actie ondernemen. Wat je zelf kunt doen? Niet inloggen op een publieke hotspot tijdens het laden. Zo voorkom je dat je gegevens gestolen worden.
-dank u, is inmiddels gefixt-
Openbare WiFi (zonder wachtwoord) is echt altijd een slecht idee!
Een video proberen kijken op de autoblog app ook. Werkt weer niet.
Dit heeft niks te maken met een openbaar wifi netwerk. Deze aanval kan op verschillende manieren worden geïmplementeerd, alleen is de openbare wifi vector het makkelijkst en waarschijnlijk met de hoogste succes rate. Het te pas en te onpas delen van je tesla inlog is het equivalent van overal je sleutels neerleggen en dan hopen dat niemand je auto steelt…
Klopt, je account delen is nooit handig
Uberhaupt een openbare Wifi die om iets van je gegevens vraagt is al een ontzettende no-no.
Een mobiel abonnement met onbeperkte data kost tegenwoordig ook de kop niet meer. Heb je ook geen gesodemieter meer met openbare wifi netwerken, die potentieel onveilig, traag en/of afgeknepen zijn.
Dit heeft niets met een hack te maken. Hoeveel alarmbellen wil je hebben? Connectie maken met een openbaar netwerk, username pass en 2fa invullen, 2 red flags, nooit doen.
Wat wel onhandig is is dat tesla deze gegeven in platte tekst verstuurd ipv het te versleutelen alvorens het over de lijn te duwen. Als het encrypted wordt verstuurd heb je zelfs aan deze methode niks.
Dit is hetzelfde als die mailtjes die je krijgt, klik de link en vul je gegevens in… Doe je toch ook niet? (’t gebeurt helaas wel veel maar dat terzijde)
Je vult je inloggegevens toch op de foutieve site in? Wat heeft dat met versleuteling door Tesla te maken?
Lastig als de dief meteen je password wijzigt. Vraag me af of je dan uitgelogd wordt op je eigen mobiel.
Zou in ieder geval eenvoudig kunnen opgevangen worden door een nieuw toestel eerst te laten verifieren, bvb via mail of desnoods sms.
Ook encrypted is dit een probleem, als de nietsvermoedende eigenaar de inloggegevens op jouw ‘Tesla’ aanmeldsite invult op het fake netwerk. Maar behalve dat er nu Tesla in de titel staat niets nieuws toch? Foute gratis WiFi bestaat al jaren, net als imitatie loginsites die ervoor bedoeld zijn je gegevens te kapen.
Tesla verstuurt deze informatie niet in clear text, de website van de aanvaller wel.
Inloggen met de account die je auto bestuurd is misschien wel een hele goede les om bewust te worden wat de gevaren daarvan zijn. Op dezelfde manier kan je rekening ook geplunderd worden.
Ik lees dit bericht terwijl ik ben ingelogd op een gratis openbaar netwerk. Als ik wat rare dingen zeg de komende dagen weten jullie genoeg!
Dit heet dan gewoon een rogue access point. Dan kan je als aanvaller al het verkeer zien langskomen. Het is vaak versleuteld waardoor je er niets aan hebt. Dat Tesla dat niet op orde heeft is slordig.
Mocht je toch een publiek wifi willen of moeten gebruiken, gooi dan eerst een VPN open voor je iets gaat doen.
Een VPN helpt niet bij een phising aanval waarbij multifactor authenticatie afgeeft.. Op het moderne netwerk helpt een VPN eigenlijk nergens mee op security gebied behalve dat je internetprovider (Nederlands bedrijf) inruilt voor een sketchy wereldwijde internet onderneming.
Het enige voordeel aan VPN is dat je voor de website kan misleiden wat je locatie echt is.
Als ik het het goed begrijp presenteert dit nep-wifi een formulier waarop men zogenaamd moet inloggen bij Tesla. In dat geval zien ze geen onversleutelde gegevens langskomen, maar geef je ze deze zelf.
Dit is wel een beetje de digitale variant van je geeft je sleutels aan de valet, maar er blijkt helemaal geen valet service te zijn.
Als je hier in trapt ben je wel echt te dom om te poepen en verdien je wat je krijgt. Als je in 2024 nog steeds niet weet dat openbare netwerken gevaarlijk zijn en je nergens zomaar je volledige accountgegevens + 2FA moet invullen, dan heb je wel onder een steen geleefd. Natuurlijk doet Tesla niets, dit heeft immers niets met Tesla te maken. Deze nep-wifi’s worden werkelijk overal gebruikt om wachtwoorden af te vangen van email tot en met bankieren, niets nieuws aan.
Maar dit vergt kennis die gewoon niet iedereen heeft. Hier hebben ITers (waaronder ikzelf) schuld, die hadden al lang iets moeten bedenken waarbij openbare WiFi netwerken geauthentiseerd kunnen worden. Net als dat we verzuimd hebben een nieuwe email protocol te verzinnen waarmee mail end-to-end versleuteld en geautoriseerd kan worden zodat spam onmogelijk is. Maar goed ITers zijn ook maar mensen die zitten liever S3E6 of porno te kijken of zitten gewoon weer te gamen.
Daar heb je helemaal gelijk in, openbare wifi’s zijn al zoveel jaar gevaarlijk dat daar inderdaad allang iets voor bedacht had moeten (en kunnen) worden.
Met Dmarc kan je prima je domein beveiligen. Als je verder alles wat niet DMarc voldoet als spam classificeert ben je van spam af, echter hebben sommige bedrijven moeite om met de standaard mee te gaan en vinden het eigenlijk wel prettig dat pietje van Marketing zo maar uit het domein kan mailen.
Openbare wifi is kwestie van afraden. Je eet toch ook niet van de straat? Je wilt weten waar je bitjes vandaan komen en heen gaan. Gelukkig kan dat tegenwoordig zeer user vriendelijk met certificaten.
Echter nogmaals zijn het die prutsers die hun zaakjes niet in orde hebben die de gebruiker afleren dat niet elke dienst fatsoenlijk beveiligd is.
Ik dacht dat je voor het maken van een digitale sleutel (de bluetooth telefoon variant doel ik dan op) ook een fysieke keycard nodig hebt (die koppel je aan de digitale sleutel). Zo was het proces in ieder geval toen ik het instelde.
Wel kunnen ze met de app de auto openen en volgens mij ook gewoon starten.
Niks nieuws, kijk maar eens naar de Duitsers die hun gegevens over Oekranie vrijgaven via een onbeveiligd netwerk. Openbaar netwerk zegt het al, openbaar, dus toegankelijk.
Wie wil er nou een Tesla stelen? Onderdelenhandel zal een beetje lastig worden aangezien de meeste in de lease zitten en gewoon naar Tesla gaan voor reparatie
Zo kun je toch ook bankrekeningen leeg halen?
Als mensen wachtwoorden, inloggegevens en machtigingen afstaan dan kun je heel veel. Enige dat Tesla daarbij mogelijk maakt is het rijden zonder sleutel.
Aanvullend kun je nog pin to drive instellen bij Tesla, maar als je ook die afgeeft heeft het niet veel nut.