Onderzoekers KU Leuven vinden zwakheden in draadloze autosleutel Tesla

24-11-2020 | door: Redactie

Onderzoekers KU Leuven vinden zwakheden in draadloze autosleutel Tesla

Onderzoekers van COSIC, een onderzoeksgroep van KU Leuven en imec, hebben ernstige beveiligingsproblemen ontdekt in de draadloze autosleutel van de Tesla Model X. De wagen kan door het lek in luttele minuten worden gestolen. Tesla bracht intussen een update uit om de problemen op te lossen.

Als de eigenaar van een Model X met de autosleutel dicht bij het voertuig komt, wordt de auto automatisch ontgrendeld. Tesla gebruikt hiervoor Bluetooth Low Energy-technologie (BLE), waardoor de constructeur ook een smartphone-app als sleutel kan aanbieden.

Controle volledig overnemen
Met een aangepaste Electronic Control Unit (ECU), afkomstig van een Tesla Model X-wrak, konden de onderzoekers draadloos sleutels aanmelden als een beschikbaar BLE-toestel. Ze ontdekten dat de BLE-interface het mogelijk maakt om op afstand updates uit te voeren van de software op de BLE-chip. Omdat dit updatemechanisme niet goed beveiligd was, konden ze een sleutel draadloos hacken en de controle ervan volledig overnemen.

Door een kwetsbaarheid in de verbinding met de diagnostische interface van de auto (door onderhoudstechnici gebruikt om data van het voertuig op te vragen) kon een tweede aangepaste sleutel aan de auto worden gekoppeld. Hiermee verzekerden de onderzoekers zich van permanente toegang tot het voertuig en konden ze uiteindelijk met de Tesla Model X wegrijden.

Goedkope hardware
De aanval werd gedemonstreerd met een zelfgemaakt toestel bestaande uit goedkope hardware: een Raspberry Pi-computer van 30 euro met een CAN-schild van 25 euro, een aangepaste sleutel, een ECU van een autowrak (voor 90 euro te vinden op eBay) en een LiPo-batterij van zo'n 25 euro. In onderstaande video is te zien hoe de onderzoekers, die eerder al de sleutel van de Model S wisten te hacken, de beveiliging konden omzeilen.

Tesla werd door de onderzoekers al in augustus op de hoogte gesteld van deze zwakheden. De fabrikant heeft de problemen bevestigd en rolt dezer dagen een over-the-air software-update uit, die door de auto op de sleutel wordt geïnstalleerd.

Bekijk de video.

 

In samenwerking met Datanews

Terug naar nieuws overzicht
Security