Samochody marki Tesla są nieprawidłowo zabezpieczone →
Tomasz Konieczny z XSolve – inżynier QA w firmie – postanowił sprawdzić, razem ze swoim teamem, jak dobrze zabezpieczony jest Tesla Model X szefa firmy, Piotra Majchrzaka. Jednym słowem? Niezbyt dobrze (tak, wiem… to dwa słowa).
Tomasz nie tylko przeanalizował zabezpieczenie oprogramowania Tesli pod kilkoma względami, ale również zaproponowali sensowne rozwiązania, jak je zabezpieczyć na przyszłość.
Aplikacja Tesli
Tesla oferuje program do sterowania ich samochodami. Można za jego pomocą lokalizować samochód, sprawdzać stan jego baterii, włączyć ogrzewanie lub klimatyzację, zatrąbić, otworzyć bagażnik, odblokować i zablokować samochód oraz go uruchomić i sterować nim, np. żeby wyjechać z garażu. Jedyną przeszkodą na drodze hackera lub złodzieja jest… login i hasło, które u wielu użytkowników prawdopodobnie składa się z zaledwie 6 kolejnych cyfr, czyli 123456
.
Biorąc pod uwagę, że nawet moje konto na Steamie do grania ma 2FA1, to dziwię się, że Tesla tego nie stosuje. Dodatkowo logowanie się do swojego konta na nowym urządzeniu nie wyzwala żadnego ostrzeżenia. Dla przykładu, urządzenia dodawane do naszych kont iCloudowych, wymagają autoryzacji na „urządzeniu zaufanym”. Co więcej, jeśli nagle 100 osób zaloguje się na nasze konto w aplikacji, chociażby byli po drugiej stronie świata, to my się o tym nie dowiemy. Nie ma też żadnej możliwości sprawdzenia listy urządzeń, na których jesteśmy zalogowani na swoje konto i biorąc pod uwagę, że nawet Facebook to oferuje, to pozostawię to niedopatrzenie bez komentarza.
To nie wszystko
Tomasz podsumowuje jeszcze braki w kwestii powiadomień, jak niedbale rozwiązane jest nieudokumentowane API i więcej, ale po szczegóły już odsyłam do jego artykułu.
Subiektywnie
Nie trzeba daleko szukać i wystarczy udać się na YouTube’a, wpisać odpowiednią frazę i będziemy mieli do dyspozycji dokładne instrukcje, jak ukraść Teslę czy inne samochody innych marek. Prawda jest taka, że tradycyjni producenci kompletnie nie nadążają z odpowiednim zabezpieczaniem wprowadzanych przez siebie nowości (jak chociażby dostęp bez kluczyka, który mamy od wielu lat). Bardziej jednak zaskakuje mnie fakt, że Tesla, która przede wszystkim powinna rozumieć te zagrożenia, tak bardzo niekompetentnie podchodzi do tematu, szczególnie że hackerom już udało się niejednokrotnie zdalnie przejąć kontrolę nad samochodami, w tym nad systemem hamulcowym.
To między innymi dlatego chciałbym, aby ktoś na świecie nadal produkował nowe samochody opierające się wyłącznie o rozwiązania mechaniczne – bez żadnej elektroniki na pokładzie – o których świat w wielu przypadkach już zapomniał.
- Two-factor authentication. ↩