Teenager kompromitterede Teslaer over hele verden gennem tredjepartsapps

21 kommentarer.  Hop til debatten
Teenager kompromitterede Teslaer over hele verden gennem tredjepartsapps
Illustration: Tesla.
Bilerne kunne blandt andet låses op og spores.
18. januar kl. 10:42
errorÆldre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

En 19-årig tysk hacker var i stand til at styre Tesla-biler over hele verden takket være en sårbarhed i en tredjeparts-applikation.

Det skriver Motherboard.

»There are those Teslas around the world right now in 13 countries and I'm able to disable the sentry mode, unlock the doors, start keyless driving, and take them on a road trip,« siger David Colombo til Motherboard.

Han fortæller, at han dog ikke kan overtage styringen af bilerne, accelerere eller bremse dem.

Artiklen fortsætter efter annoncen

Den største risiko var således at han kunne finde lokationen på en Tesla og låse den op gennem den kompromitterede applikation.

21 kommentarer.  Hop til debatten
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
21
19. januar kl. 16:54

Hvis bilen bliver misbrugt og du har pillet ved SW - jo.

Der er ikke nogen, som piller ved softwaren. Teslas software er 100% uberørt, der er tale om at anvende nøjagtigt de samme kommandoer og kald, som deres egen officielle app selv benytter. Det foregår blot via en 3. part, hvor der fra brugerens side ikke er tilstrækkeligt styr på sikkerhedsdetaljerne til, at adgangstokens ikke kan stjæles og misbruges.

Hvis vi skal lave analogien, så svarer dette her vel til, at jeg tager hen til bilproducenten og får lavet en ekstra nøgle til min bil. Denne nøgle har jeg så - grundet mgl. tilstrækkelig teknisk viden - fået placeret på et sted, hvor andre relativt nemt kan bryde ind og tage den og dermed stjæle min bil. Producenten har ganske vist sagt, at de ikke vil tage ansvar for, hvor jeg gemmer den. ;)

20
19. januar kl. 16:34

Jeg skriver netop også længere oppe, at det kun kan være brugeren selv, som hænger på følgerne af at anvende noget ikke-understøttet 3. parts software. I dette tilfælde er der så en del personer, som angiveligt har valgt at eksponere deres installationer uden at sikre det ordentligt - og ja, det er noget forbandet skidt.

Om det forsikringsmæssigt kan sammenlignes med den skødesløshed, der er i at lade nøglen sidde i hoveddøren eller lade bilen stå i tomgang på tankstationen, mens der købes marmorkage, må vi jo se, når/hvis der kommer en sag ud af det engang. :)

18
19. januar kl. 15:51

Lyder ikke som noget man behøver at være så skræmt af skulle skabe et transportkaos.

Hvis Tesla må sjuske med SW-adgang-apps-sikkerhed, så gider de andre fabrikanter heller ikke sikre deres SW[1], og med 30-40% SW-usikre biler på vejene om ~10 år.. gæt selv.

Altså et lukket økosystem, hvor Tesla stort set har enevælde.

Man overlader ikke sit gode ur til bageren, der sikkert har fagligt kundskab et helt andet sted. Og Tesla har så rigeligt råd til den lille opgave - luk ned for uaut. adgang.

Og sikkerhed i forbindelse med avanceret teknik kan da ikke overlades til Fuske-Poul henne ved kæret, eller Hr. Jensen og konen, samt den opvakte søn derhjemme ved kakkelbordet. Tesla må tage tørnen indtil et uafhængigt, godkendt institut/prøveanstalt er oprettet i USA. Vi har i EU allerede nogle anvendelige, men de er vist ikke aktive på området og sover endnu.

[1] Been counter - The Microsoft Way - med et 1980'er pivåbent og hullet Windows OS. Og ja, jeg har været med hele vejen fra C/PM -> DOS -> Windows -> etc .etc.

Den manglende sikkerhed i OS har kostet Microsoft formuer, i form af konstant at skulle lukke hullerne i deres OS.

Been counter.. Beans are a cheap commodity, so to count them is a rather silly thing to do. A "bean counter" is one who nitpicks over small things in order to save costs. It is a derogatory term for accountants, bankers, and anyone who holds a financial interest in an endeavor.

17
19. januar kl. 15:33

Der er ikke tale om at man kan andet end at stjæle bilen. Så du kan ikke komme en tur i tremmely, som @finn skriver.

16
19. januar kl. 14:48

Man kan låse/låse op, aktivere hornet, blinke med lygter, styre klimaanlægget og andet gejl.

...jailbreak/rooting af telefoner og tablets, fordi det er "vores" udstyr, så "vi" vil selv bestemme 100% over det?</p>
<p>I dette tilfælde er der også adgang til en bil involveret, så her er tingene anderledes? :)

@Kenneth.. du rammer forbi skiven, da det ikke er noget simpelt nørderi - tværtom, det er det slet ikke.

Enhver myndig person er selv ansvarlig for sine handlinger incl. det der sker med personens teknik, dimser og dutter. Samt hver person har ansvaret for at kende lovgivningen.

De fleste ansvarlige personer foretrækker også at låse døren til boligen, bilen, smartdimser etc., da det jo primært sikre mod at andre ikke ansvarlige personager får svært ved misbruger/stjæler det, som man er ansvarlig for.

Det her ord ansvarlig - er problemet.

Når du ikke låser døren til bolig/bil eller gør "anskrig"[1], kan du miste noget og så forsvinder også din forsikringsdækning = du er uansvarlig.

Når du ikke sikre dine it-dimser, så alle incl. grumme tecvirksomheder, døgnet rundt kan snuse og henter alle gemte oplysninger, ..billeder (fy), og følge din position hvert sekund, så er du jo uansvarlig overfor dig selv og alle dem, som du har haft kontakt med.

Og uvidende det er du ikke, da der jo hver dag tales om it-misbrug/virus etc. samt skrives om de ulykkelige hændelser i medierne.

Du trykker jo også selv på "Ja", hvor du skulle trykke på "Nej" på spørgsmålet om, at de må snuse/stjæle oplysninger ;) Og de 179 it-analfabeter på Borgen har i et par årtier gjort det samme = dokumentation på, at de heller ikke kender konsekvenserne, og ikke har kompetent faglig rådgivning. Lev med det, som slette slette Mette siger.

Og nu skal det samme uansvarlige cirkus opleves i forbindelse med en bil, fordi man - The Microsoft Way - igen hælder pivåben SW på den. Bilen bliver f.eks. ret nem at stjæle samt er en voldsom mordmaskine i de forkerte hænder, modsat at det er en konsum-PC og ditto smartdimser ikke umiddelbart. Så der er en meget stor forskel.

Og jeg er sikker på at autoforsikringen også vil fraskrive sig ansvaret, når (ikke hvis) uautoriserede apps er årsag til ulykker/skader, samt dermed er der ingen dækning af ansvar og skader, og du vil da personligt kunne hænge på både store erstatninger og må evt. en tur i tremmely - igen en forskel set overfor konsum-PC og smartdimser.

Og uvidende det er du ikke. Samt du har ingen regres[2] over for Tesla, da de jo har advarede og fraskrev sig ansvaret.

  • [1] ..https://ordnet.dk/ddo/ordbog?query=anskrig&tab=for
  • [2] ..https://ordnet.dk/ddo/ordbog?query=regres
15
19. januar kl. 11:23

Jeg tror i hvert fald at en hacket løbsk bil kan skade mig mere, end en ditto mobiltelfon :-0</p>
<p>Usikker aps/software giver i hvert fald større mulighed for en bredere kreds til at gøre en bil usikker for andre en ejeren, end når en ejer eller ven i "gamle dage" stod og fuskede med bremser, styrtøj mv. uden at have styr på sikkerheden.

Nu er der ikke mulighed for at påvirke selve kørslen via API'et, i hvert fald ikke ifølge Tesla. Man kan låse bilen op og "starte" den, herefter er der lukket for ydre påvirkninger, indtil bilen sættes i "Park" igen.

Man kan låse/låse op, aktivere hornet, blinke med lygter, styre klimaanlægget og andet gejl. Man kan selvfølgelig udlæse telemetri under kørslen, men der er ikke mulighed for at styre, bremse, accelerere eller lign - hvilket jo også ville være aldeles vanvittigt, hvis det var muligt. ;)

Men ja, jeg forstår da godt din bekymring. :)

14
19. januar kl. 11:11

I dette tilfælde er der også adgang til en bil involveret, så her er tingene anderledes? :)

Jeg tror i hvert fald at en hacket løbsk bil kan skade mig mere, end en ditto mobiltelfon :-0

Usikker aps/software giver i hvert fald større mulighed for en bredere kreds til at gøre en bil usikker for andre en ejeren, end når en ejer eller ven i "gamle dage" stod og fuskede med bremser, styrtøj mv. uden at have styr på sikkerheden.

13
19. januar kl. 10:26

Tesla skal låse af for enhver form for adgang samt ikke kendte Apps <- som ikke er godkendt og gennemtestede af Tesla eller uafhængigt, godkendt institut/prøveanstalt

Altså et lukket økosystem, hvor Tesla stort set har enevælde (hvilket de efter manges mening i forvejen faktisk har rigeligt af, men det er en anden snak). Er dette ikke netop udgangspunktet for jailbreak/rooting af telefoner og tablets, fordi det er "vores" udstyr, så "vi" vil selv bestemme 100% over det?

I dette tilfælde er der også adgang til en bil involveret, så her er tingene anderledes? :)

11
19. januar kl. 10:05

Der er rigeligt med søvninge/usikre bilister på asfalt-vejene, samt hullede systemer på it-vejene. De to sammenlagt kan nemt lave transportkaos.

"Han fortæller, at han dog ikke kan overtage styringen af bilerne, accelerere eller bremse dem.

Den største risiko var således at han kunne finde lokationen på en Tesla og låse den op gennem den kompromitterede applikation."

Lyder ikke som noget man behøver at være så skræmt af skulle skabe et transportkaos.

10
19. januar kl. 08:56

Og mente selvfølgelig lettere sagt 🤦🏻‍♂️☕️

9
19. januar kl. 08:52

Tesla skal låse af

Hele uenig. Tesla skal åbne op, så andre kan integrere med bilen. Det burde faktisk være et lovkrav, at alle vil producenter skulle det.

Det Tesla mangler, er en ordentlig model for tilladelser. Man giver adgang til alt eller intet. Hvorfor skal TrueEnergy fx se hvor hurtigt jeg kører samt kunne starte min bil remote, når jeg bare bruger dem til at planlægge hvornår den skal lade?

Noget a la Androids sikkerhed ville være langt bedre.

8
19. januar kl. 08:48

Det er desværre svære sagt end gjort at låse et API af så kun Teslas egen mobil app kan tilgå det. Det er noget tid siden jeg kiggede på deres API og de kan givet gøre mere. Men det ville være bedre hvis de anerkendte at 3. Parts apps udfylder et hul som de ikke selv kan fylde ud og lavede deres API public med et fornuftigt OAuth consent flow.

Det ville for det første undgå situationen med at folk bliver nød til at aflevere deres credentials til 3. Part. Desuden kunne folk bedre styre hvad 3. Part apps fik adgang til. Mange apps kræver kun read adgang, nogle kræver adgang til f.eks. at styre opladningen. Men sjældent er der behov for adgang til alt.

7
19. januar kl. 00:39

..out-of-the-box med default administrator-credentials. Herfra er der direkte adgang til databasen med tokens til bilen ...

..og så blot at åbne gladeligt for sin firewall. ;-)

Kors i hytten..

..de melder ret klart ud, at det er helt og aldeles folks eget ansvar, hvis man lader andre apps få adgang til herlighederne.

Nogle fabrikanter er slapsvanse med alt for stor og farlig kræmmersjæl.

Tesla skal ikke fraskrive sig ansvar og pådutte kunder dette, hvor 98% ikke fatter og kan gennemskue konsekvenserne.

-> Tesla skal låse af for enhver form for adgang samt ikke kendte Apps <- som ikke er godkendt og gennemtestede af Tesla eller uafhængigt, godkendt institut/prøveanstalt

Der er rigeligt med søvninge/usikre bilister på asfalt-vejene, samt hullede systemer på it-vejene. De to sammenlagt kan nemt lave transportkaos.

5
18. januar kl. 15:52

Herfra er der direkte adgang til databasen med tokens til bilen ...

Hvis man vel at mærke har åbnet for adgang til app'en udefra, ja. Her kræves der helt afgjort en mere avanceret opsætning af tingene fremfor blot at hente en standard 'docker-compose.yml' og så blot at åbne gladeligt for sin firewall. ;-)

Af samme årsag kører min TeslaMate bag lukkede døre; jeg har endnu ikke haft behov for at tilgå den udenfor mit hjem.

4
18. januar kl. 15:41

Finder det da mere tåbeligt at Tesla tillader det..

3
18. januar kl. 15:19

Jeg har aldrig rigitg forstået dem der bruger de her 3. parts apps til deres Teslaer. Man udleverer ofte både brugernavn og adgangskode til sin Tesa-konto for at få adgang til bilen via 3. parts appen.

Det drejer sig ganske rigtigt om en 3. parts applikation, der installeres som en række Docker-images. En af delkomponenterne er Grafana, der installerer out-of-the-box med default administrator-credentials. Herfra er der direkte adgang til databasen med tokens til bilen ...

2
18. januar kl. 13:46

Jeg har aldrig rigitg forstået dem der bruger de her 3. parts apps til deres Teslaer. Man udleverer ofte både brugernavn og adgangskode til sin Tesa-konto for at få adgang til bilen via 3. parts appen.

Helt enig. Denne teenagers stunt er egentlig ikke andet end "brugeren installerede noget suspekt software i sin bil, og derfor kunne jeg få adgang til den".

Det er jo ikke anderledes end hvis man installerer suspekt software på sin PC, og andre så lurer adgangskoderne til email, facebook, eboks, netbank, etc.

Jeg er ikke særlig imponeret.

1
18. januar kl. 13:03

Jeg har aldrig rigitg forstået dem der bruger de her 3. parts apps til deres Teslaer. Man udleverer ofte både brugernavn og adgangskode til sin Tesa-konto for at få adgang til bilen via 3. parts appen.

Man kan jo lige så godt bare lægge nøglen oven på postkassen Har du først mistet user/pass kan ham/hende der har nølet dem uden problemer køre væk i din bil...

Til dem der ikke har en Tesla, man kan via sin Tesla-app; låse bilen op, starte bilen og køre uden brug af nøgle.

Man kan sætte et PIN, man det kan fjernes ved hjælp af... tadaa.. App user/pass...