Stjæl en Tesla på få timer med ondsindet wifi-netværk

25. november 2016 kl. 09:2616
Stjæl en Tesla på få timer med ondsindet wifi-netværk
Illustration: Tesla.
Et norsk sikkerhedsfirma stjal på ganske kort tid en Tesla til knap en million kroner blot ved at sætte et ondsindet wifi-netværk op. Professor savner tofaktorgodkendelse.
person
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.
person

Tesla er den klart mest solgte el-bil og det med god grund. På mange punkter er de rent innovativt langt foran konkurrenterne. Tidligere i år lancerede Tesla en applikation, der kunne skrue op og ned for varmen, låse bilen op og starte den, inden man havde sat sig ind i den.

Men som med så meget andet kommer ny teknologi ikke uden problemer. Jo mere teknologi, desto flere sårbarheder er der at tage højde for, og på det punkt har Tesla et problem. Det skriver norske digi.no.

Alt for nemt

Således kunne det norske sikkerhedsfirma Promon vise, at de ved hjælp af et stjålet brugernavn og kodeord kunne logge sig ind i bilens hjerne og køre af sted med køretøjet, der koster tæt på en million kroner.

»Vi mener, at det her er alt for nemt at gennemføre, og det ønsker vi at belyse,« fortæller Lars Lunde Birkeland, der er markedsdirektør i Promon.

Artiklen fortsætter efter annoncen

Brugernavnet og kodeordet har Promons sikkerhedsekspert Benjamin Adolphi fået adgang til ved at udnytte en sårbarhed i Androids OS.

Ifølge Promon har 90 procent af brugerne med en smartphone ikke opdateret operativsystemet til det nyeste, og dermed er 90 procent udsat for denne sårbarhed.

»Det kræver ikke særlig store it-kundskaber at sætte op. Vi valgte et scenarie, der er meget udbredt. Ved hjælp af et ondsindet trådløst netværk fik vi adgang til bilejernes brugernavn og kodeord,« forklarer Lars Lunde.

Valget faldt naturligt på at bruge Tesla som eksempel, netop fordi de ligger så langt fremme, når det kommer til brug af teknologi i biler.

Artiklen fortsætter efter annoncen

Jobs

Dine job
Vis alle

Lars Lunde fortæller videre, at angrebet blev udført på blot nogle få timer. Han mener, at alle, der har i sinde at stjæle biler, har muligheder for at tage metoden i brug.

Kommer ikke som en overraskelse

Promon er ikke overrasket over, at angrebet kunne gennemføres så enkelt. De har arbejdet med bank- og finanssektoren i mange år, og her er denne type angreb ganske udbredte.

Mange af de institutioner, som Promon har arbejdet med, har omgået problematikken ved at benytte sig af en tofaktorgodkendelse.

Tesla har ikke denne ekstra sikkerhedsforanstaltning, og derfor kan alle, der får adgang til brugernavn og kodeord, køre af sted med bilen.

I forrige uge fortalte professor i matematik, Kristian Gjøsteen, på Norges teknisk-naturvidenskabelige universitet, NTNU i Trondhjem, at et kodeord alene ikke er særligt sikkert.

»Der skal ikke mere til, end at nogen ser dig over skulderen, mens du taster det ind, før sikkerheden er brudt,« konstaterede han.

Promon fortæller, at de har været i kontakt med Tesla vedrørende sårbarheden i deres teknologi. Tesla har ikke ønsket at udtale sig om, hvordan de vil forholde sig til problematikken.

»Vi kontaktede Tesla for noget tid siden for at give dem tid til at reagere på en måde, de finder relevant,« siger teknologidirektør i Promon Tom Lysemose.

Hold telefonen opdateret

Tom Lysemose fortæller, at metoden er tilgængelig for alle med kriminelle hensigter. Derfor har Promon taget sig den frihed at skrive nogle få linjer kode, der ville lukke hullet. Men hos Tesla Norge mener de ikke, at det er Teslas problem, da det også rammer andre biler.

Artiklen fortsætter efter annoncen

»Hvis en telefon bliver hacket, er ingen af applikationerne sikre,« siger kommunikationschef for Tesla Norge Even Sandvold Roland og tilføjer:

»Promon viser, at man kan bruge kendte former for social udnyttelse til at installere skadelig software på Android-telefoner. Det udsætter hele telefonen, inklusive de applikationer, man har installeret.«

Ifølge Tesla Norge har ingen Tesla-ejere i Norge fået stjålet deres bil på denne måde. Kommunikationschefen har dog en opfordring til alle Tesla-ejerne.

»Vi anbefaler, at alle holder deres telefon opdateret med den nyeste version af operativsystemet.«

Se en video om indgrebet her.

Dette eksterne indhold er blokeret da du ikke har givet samtykke til markedsførings-cookies. For at se indholdet skal du opdatere dine cookie-indstillinger.

Emner
16 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Køb abonnementFå prøveabonnement

Jobs

Dine job
Vis alle

Fortsæt din læsning

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
16
Povl Hansen
27. november 2016 kl. 14:36

Stjal en Tesla fordi han havde nøglen Er der bare ikke særligt meget clickbait over Og manglende opdateringer til android kan ikke rigtigt kaldes en nyhed

  • more_vert
    • insert_linkKopier link
15
Daniel Korsgaard
26. november 2016 kl. 22:30

ved hjælp af et stjålet brugernavn og kodeord kunne logge sig ind i en bilens hjerne og køre afsted med køretøjet

Tænk sig, hvis Version2 havde skrevet det i overskriften? Det er jo logik for perlehøns, at hvis man allerede har stjålet nøglen til en bil, så er det ret nemt at stjæle selve bilen.

Og det med at stjæle nøglen til bilen, har intet med Tesla at gøre, men alt med Android at gøre.

Hvad bliver det næste, Version2? At min bank har et sikkerheds problem, fordi at det eneste man skal bruge for at stjæle mine penge er mit kodeord og nøglekort? Eller at min fordør har et sikkerhedsproblem fordi det eneste man skal bruge for at låse den op, er nøglen?

Hvis nu bare i havde skrevet en artikel om hvor dårlig Androids sikkerhed er. Eller rettere, en artikel om hvor dårlige mobil producenter er til at opdatere deres telefoner...

  • more_vert
    • insert_linkKopier link
14
Bjarne Oldrup
26. november 2016 kl. 19:49

Jeg må tilslutte mig opfattelsen af at overskriften er en smule misvisende.

Videoen skøjter hen over at man også liiige skal installere en app med, hvad jeg nåede at se, 5-7 tilladelser (for at få en gratis burger ?!), før login informationer blev delt med hackeren..

Overskriften kunne gi' det indtryk at logge på et offentligt wifi var nok.

Jeg er personligt for langt fra tesla-segment til rigtigt at kunne vurdere det, men jeg tvivler på at de ville besvære sig med at installere obskure apps for en gratis burger...

  • more_vert
    • insert_linkKopier link
13
Brian Hansen
26. november 2016 kl. 08:11

https://www.danskelbilalliance.dk/Statistik/Salgstal_Aar.aspxDog skal man lige husk på at tallene for 2015 er ret misvisende. Tesla indregistrerede jo selv et hav af biler i protest mod regeringens varslede stigning af registreringsafgiften :) Men jeg havde nu nok også valgt en Tesla over en Nissan.... ;-)

  • more_vert
    • insert_linkKopier link
12
Slettet bruger
26. november 2016 kl. 00:17

Citat: "Tesla er den klart mest solgte el-bil..."

Er det en påstand du kan dokumentere?

  • more_vert
    • insert_linkKopier link
11
Lars Kr. Lundin
25. november 2016 kl. 18:12

Det er et hack som slet ikke har noget med Tesla at gøre.

Da Tesla selv har valgt at tilbyde en Android app, der kan bruges som nøgle til bilen, så har det i allerhøjeste grad noget med Tesla at gøre.

Hvis jeg skulle komme med en bil-analogi, så svarer det til at Tesla har valgt en kendt upådelig leverandør af billåse.

  • more_vert
    • insert_linkKopier link
10
Knud Høgh Knudsen
25. november 2016 kl. 15:31

Hvis ikke en Tesla, så har en Porsche Panamere samme usikkerhed. (det ER sket, så her er der ikke tale om formodning eller "bare en prøve")

  • more_vert
    • insert_linkKopier link
9
Brian Hansen
25. november 2016 kl. 14:28

Men, skulle det ske - så dækker forsikringen netop derfor i begge tilfælde.

Dækker de hvis bilen bliver lukket op og tømt for værdier, og der ikke er tegn på indbrud? Det ville være noget helt nyt. I diverse fora på nettet anbefales det decideret at bladre ruden i bilen inden man ringer til forsikringen. F.eks. VW's dørlås kan åbnes med en dims fra ebay til Ca 20,- helt uden låsen tager skade. Flinkt af tyven, men forsikringen tror du snyder dem hvis der ikke tegn på indbrud :/

  • more_vert
    • insert_linkKopier link
6
Tommy Sørensen
25. november 2016 kl. 12:57

Misvisende overskrift. Det er et hack som slet ikke har noget med Tesla at gøre. Dette hack kan jo også bruges til at læse hans email, kontakter eller alt der foregår på telefonen. Han kunne jo også se hans facebook kode hvis han ville og smide ligegyldige killinger op på hans væg.

Selvfølgelig er det ikke så godt at man kan stjæle en bil kun ved at narre en via en app, men så er det godt tesla altid selv kan se hvor den er via GPS.

Engelsk udgave af nyheden findes her:https://electrek.co/2016/11/23/tesla-hacker-steal-car/

Se også lige at få opdateret jeres billede af bilen indvendigt. Det er et billede der er mange år gammel af en model som blev ændret væsentligt.

  • more_vert
    • insert_linkKopier link
5
Thomas Jørgensen
25. november 2016 kl. 12:36

Det hander om, hvor problematisk det er. Eller om det ligefrem er farligt.

Man kan jo bare bryde ind i hjemmet og tage nøglen. Skal der 2-faktor sikkerhed på bilnøgler?

Vi lever i et samfund hvor det snart er mere strafbart at lure et password end det er at bryde ind i et hus.

Men, skulle det ske - så dækker forsikringen netop derfor i begge tilfælde.

  • more_vert
    • insert_linkKopier link
4
Morten Hartvig
25. november 2016 kl. 11:58

De glemmer vist, at dem der kører i en Tesla, sikkert ikke har en gammel Android mobil til 1000 kr. :)

  • more_vert
    • insert_linkKopier link
3
Povl Hansen
25. november 2016 kl. 10:38

Så nogen har med rette brugernavn/kodeord kunne logge sig på :O

  • more_vert
    • insert_linkKopier link
2
Jakob H. Heidelberg
25. november 2016 kl. 10:31

Din pointe er god Emil, for det er lidt et "PR-stunt hack", men når man kan starte og overvåge biler (potentielt tusindvis) fra en hjemmeside, så vil jeg give dem ret i, at to-faktor login bør være et krav - eller Tesla ejerne bør som minimum kunne tilvælge dette (for de bruger i virkeligheden nok også svage adgangskoder som alle andre mennesker, alla "Tesla16!" eller "Vinter2016" :-)

  • more_vert
    • insert_linkKopier link
1
Emil Stahl
25. november 2016 kl. 10:13

Hvorfor ikke bare skrive social engineering? Det lyder da godt nok dumt.

  • more_vert
    • insert_linkKopier link