In de praktijk mag de elektrische sedan van Tesla dan een behoorlijk veilig autootje zijn, de software van de auto vertoonde opmerkelijk veel zwakheden.
Opnieuw hebben twee beveiligingsexperts aangetoond hoe deplorabel de staat software in sommige auto’s is. In Wired publiceren de Amerikanen Kevin Mahaffey en Marc Rogers hoe ze toegang kregen tot het netwerk van de Model S, waarna ze op afstand het entertainmentsysteem overnamen, de remmen aanstuurden, en eigenlijk gewoon de gehele auto uit wisten te zetten.
Laptop aansluiten en wegrijden
Om in de software van de Model S te komen hadden ze wel eerst toegang tot de auto nodig, waarna ze een ethernetkabel op een 4 pins connector (foto) aan de linkerzijde van het dashboard aansluiten en vervolgens met hun laptops toegang kregen. Met deze simpele ingreep en een aantal commando’s wisten ze de auto te starten en er mee weg te rijden. Zoals dit forumlid al voorspelde.
Het lukte ze ook om een remote-access Trojan (virusje) op het netwerk van de Model S te plaatsen, waarmee ze later op afstand via de internetverbinding van de auto de elektromotor wisten uit te schakelen. Terwijl er iemand in reed. Toegegeven, dit zijn allemaal acties waarbij er eerst fysieke toegang tot de auto nodig is. Op afstand overnemen is dus niet aan de orde. Hinderlijker is echter de browser op het 17-inch touchscreen in de middenconsole. Deze maakt gebruik van een oude Apple WebKit, waar al vier jaar geleden een serieus lek in werd ontdekt. In theorie kan iemand een malafide site maken en de controle over de auto overnemen wanneer deze wordt ingeladen in Tesla’s browsers.
Tesla heeft een patch uitgerold
De twee hackers hebben in twee jaar tijd zes zwakheden in het systeem van Tesla gevonden. Samen met de Californische autobouwer hebben ze in deze bugs gefikst, wat geresulteerde in een software-update die sinds gisteren wordt uitgerold naar de Model S. Dit gebeurt OTA (over the air), dus een recall of bezoek aan de Tesla-werkplaats is niet nodig. Iets dat niet het geval was bij de recente hack van Fiat Chrysler. Die auto’s moesten naar de garage voor een software-update, of eigenaren konden zelf aan de slag gaan met een USB-stickje.
Dat Tesla zo snel een patch kan uitvoeren is dus niet alleen slim, het zou de standaard moeten worden in de auto-industrie. We hebben het hier immers niet over telefoontjes of PC’s die worden gehackt, maar hompen metaal waar een softwarecrash makkelijk kan resulteren in een échte crash.
Het is overigens niet de eerste keer dat de software van Tesla zwakheden vertoont. Eerder bleek het al eenvoudig om Tesla-accounts te kraken en daarmee Tesla’s te bedienen.
De beveiligingsonderzoekers presenteren hun bevindingen morgen op hackersconferentie Defcon in Las Vegas.
12 reacties
Je had hiervoor dus wel fysieke toegang nodig. Niet heel erg haalbaar
Ik snap dat het milieu belangrijk is, maar echte liefhebbers willen zelf rijden! Zelfs roeren in de bak! De geur van brandstof en uitlaatgassen en de brul die uit het vooronder (of van achter de stoelen) vandaan komt.
En het ergste… straks valt er niks anders meer te kiezen!!!!
Staat er bij mij ook al op.
Maar ik hoef geen elektrische wagen. Om eerlijk te zijn rijd ik veel liever een zo simpel mogelijk wagen. Ik ben geen fan van al die high tech spullen wat kapot kan gaan.
Tuurlijk zal een traditionele auto ook kapot gaan, maar een probleem oplossen is veel makkelijker.
Maar goed, ben blij dat lotus nog aanwezig is. En hoop dat er meer fabrikanten zullen komen die ook simpele wagens zullen bouwen.