Stjæl en Tesla på få timer med ondsindet wifi-netværk

Et norsk sikkerhedsfirma stjal på ganske kort tid en Tesla til knap en million kroner blot ved at sætte et ondsindet wifi-netværk op. Professor savner tofaktorgodkendelse.

Tesla er den klart mest solgte el-bil og det med god grund. På mange punkter er de rent innovativt langt foran konkurrenterne. Tidligere i år lancerede Tesla en applikation, der kunne skrue op og ned for varmen, låse bilen op og starte den, inden man havde sat sig ind i den.

Men som med så meget andet kommer ny teknologi ikke uden problemer. Jo mere teknologi, desto flere sårbarheder er der at tage højde for, og på det punkt har Tesla et problem. Det skriver norske digi.no.

Alt for nemt

Således kunne det norske sikkerhedsfirma Promon vise, at de ved hjælp af et stjålet brugernavn og kodeord kunne logge sig ind i bilens hjerne og køre af sted med køretøjet, der koster tæt på en million kroner.

»Vi mener, at det her er alt for nemt at gennemføre, og det ønsker vi at belyse,« fortæller Lars Lunde Birkeland, der er markedsdirektør i Promon.

Brugernavnet og kodeordet har Promons sikkerhedsekspert Benjamin Adolphi fået adgang til ved at udnytte en sårbarhed i Androids OS.

Ifølge Promon har 90 procent af brugerne med en smartphone ikke opdateret operativsystemet til det nyeste, og dermed er 90 procent udsat for denne sårbarhed.

»Det kræver ikke særlig store it-kundskaber at sætte op. Vi valgte et scenarie, der er meget udbredt. Ved hjælp af et ondsindet trådløst netværk fik vi adgang til bilejernes brugernavn og kodeord,« forklarer Lars Lunde.

Valget faldt naturligt på at bruge Tesla som eksempel, netop fordi de ligger så langt fremme, når det kommer til brug af teknologi i biler.

Lars Lunde fortæller videre, at angrebet blev udført på blot nogle få timer. Han mener, at alle, der har i sinde at stjæle biler, har muligheder for at tage metoden i brug.

Kommer ikke som en overraskelse

Promon er ikke overrasket over, at angrebet kunne gennemføres så enkelt. De har arbejdet med bank- og finanssektoren i mange år, og her er denne type angreb ganske udbredte.

Mange af de institutioner, som Promon har arbejdet med, har omgået problematikken ved at benytte sig af en tofaktorgodkendelse.

Tesla har ikke denne ekstra sikkerhedsforanstaltning, og derfor kan alle, der får adgang til brugernavn og kodeord, køre af sted med bilen.

I forrige uge fortalte professor i matematik, Kristian Gjøsteen, på Norges teknisk-naturvidenskabelige universitet, NTNU i Trondhjem, at et kodeord alene ikke er særligt sikkert.

»Der skal ikke mere til, end at nogen ser dig over skulderen, mens du taster det ind, før sikkerheden er brudt,« konstaterede han.

Promon fortæller, at de har været i kontakt med Tesla vedrørende sårbarheden i deres teknologi. Tesla har ikke ønsket at udtale sig om, hvordan de vil forholde sig til problematikken.

»Vi kontaktede Tesla for noget tid siden for at give dem tid til at reagere på en måde, de finder relevant,« siger teknologidirektør i Promon Tom Lysemose.

Hold telefonen opdateret

Tom Lysemose fortæller, at metoden er tilgængelig for alle med kriminelle hensigter. Derfor har Promon taget sig den frihed at skrive nogle få linjer kode, der ville lukke hullet. Men hos Tesla Norge mener de ikke, at det er Teslas problem, da det også rammer andre biler.

»Hvis en telefon bliver hacket, er ingen af applikationerne sikre,« siger kommunikationschef for Tesla Norge Even Sandvold Roland og tilføjer:

»Promon viser, at man kan bruge kendte former for social udnyttelse til at installere skadelig software på Android-telefoner. Det udsætter hele telefonen, inklusive de applikationer, man har installeret.«

Ifølge Tesla Norge har ingen Tesla-ejere i Norge fået stjålet deres bil på denne måde. Kommunikationschefen har dog en opfordring til alle Tesla-ejerne.

»Vi anbefaler, at alle holder deres telefon opdateret med den nyeste version af operativsystemet.«

Se en video om indgrebet her.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (16)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Jakob H. Heidelberg

Din pointe er god Emil, for det er lidt et "PR-stunt hack", men når man kan starte og overvåge biler (potentielt tusindvis) fra en hjemmeside, så vil jeg give dem ret i, at to-faktor login bør være et krav - eller Tesla ejerne bør som minimum kunne tilvælge dette (for de bruger i virkeligheden nok også svage adgangskoder som alle andre mennesker, alla "Tesla16!" eller "Vinter2016" :-)

Thomas Jørgensen

Det hander om, hvor problematisk det er. Eller om det ligefrem er farligt.

Man kan jo bare bryde ind i hjemmet og tage nøglen. Skal der 2-faktor sikkerhed på bilnøgler?

Vi lever i et samfund hvor det snart er mere strafbart at lure et password end det er at bryde ind i et hus.

Men, skulle det ske - så dækker forsikringen netop derfor i begge tilfælde.

Tommy Sørensen

Misvisende overskrift. Det er et hack som slet ikke har noget med Tesla at gøre. Dette hack kan jo også bruges til at læse hans email, kontakter eller alt der foregår på telefonen. Han kunne jo også se hans facebook kode hvis han ville og smide ligegyldige killinger op på hans væg.

Selvfølgelig er det ikke så godt at man kan stjæle en bil kun ved at narre en via en app, men så er det godt tesla altid selv kan se hvor den er via GPS.

Engelsk udgave af nyheden findes her:
https://electrek.co/2016/11/23/tesla-hacker-steal-car/

Se også lige at få opdateret jeres billede af bilen indvendigt. Det er et billede der er mange år gammel af en model som blev ændret væsentligt.

Brian Hansen

Men, skulle det ske - så dækker forsikringen netop derfor i begge tilfælde.


Dækker de hvis bilen bliver lukket op og tømt for værdier, og der ikke er tegn på indbrud? Det ville være noget helt nyt.
I diverse fora på nettet anbefales det decideret at bladre ruden i bilen inden man ringer til forsikringen.
F.eks. VW's dørlås kan åbnes med en dims fra ebay til Ca 20,- helt uden låsen tager skade. Flinkt af tyven, men forsikringen tror du snyder dem hvis der ikke tegn på indbrud :/

Bjarne Oldrup

Jeg må tilslutte mig opfattelsen af at overskriften er en smule misvisende.

Videoen skøjter hen over at man også liiige skal installere en app med, hvad jeg nåede at se, 5-7 tilladelser (for at få en gratis burger ?!), før login informationer blev delt med hackeren..

Overskriften kunne gi' det indtryk at logge på et offentligt wifi var nok.

Jeg er personligt for langt fra tesla-segment til rigtigt at kunne vurdere det, men jeg tvivler på at de ville besvære sig med at installere obskure apps for en gratis burger...

Daniel Korsgaard

ved hjælp af et stjålet brugernavn og kodeord kunne logge sig ind i en bilens hjerne og køre afsted med køretøjet

Tænk sig, hvis Version2 havde skrevet det i overskriften? Det er jo logik for perlehøns, at hvis man allerede har stjålet nøglen til en bil, så er det ret nemt at stjæle selve bilen.

Og det med at stjæle nøglen til bilen, har intet med Tesla at gøre, men alt med Android at gøre.

Hvad bliver det næste, Version2? At min bank har et sikkerheds problem, fordi at det eneste man skal bruge for at stjæle mine penge er mit kodeord og nøglekort? Eller at min fordør har et sikkerhedsproblem fordi det eneste man skal bruge for at låse den op, er nøglen?

Hvis nu bare i havde skrevet en artikel om hvor dårlig Androids sikkerhed er. Eller rettere, en artikel om hvor dårlige mobil producenter er til at opdatere deres telefoner...

Log ind eller Opret konto for at kommentere