iMagazine

Samochody marki Tesla są nieprawidłowo zabezpieczone

13/06/2018, 15:27 · · · 0

Tomasz Konieczny z XSolve – inżynier QA w firmie – postanowił sprawdzić, razem ze swoim teamem, jak dobrze zabezpieczony jest Tesla Model X szefa firmy, Piotra Majchrzaka. Jednym słowem? Niezbyt dobrze (tak, wiem… to dwa słowa).

Tomasz nie tylko przeanalizował zabezpieczenie oprogramowania Tesli pod kilkoma względami, ale również zaproponowali sensowne rozwiązania, jak je zabezpieczyć na przyszłość.

Aplikacja Tesli

Tesla oferuje program do sterowania ich samochodami. Można za jego pomocą lokalizować samochód, sprawdzać stan jego baterii, włączyć ogrzewanie lub klimatyzację, zatrąbić, otworzyć bagażnik, odblokować i zablokować samochód oraz go uruchomić i sterować nim, np. żeby wyjechać z garażu. Jedyną przeszkodą na drodze hackera lub złodzieja jest… login i hasło, które u wielu użytkowników prawdopodobnie składa się z zaledwie 6 kolejnych cyfr, czyli 123456.

Biorąc pod uwagę, że nawet moje konto na Steamie do grania ma 2FA1, to dziwię się, że Tesla tego nie stosuje. Dodatkowo logowanie się do swojego konta na nowym urządzeniu nie wyzwala żadnego ostrzeżenia. Dla przykładu, urządzenia dodawane do naszych kont iCloudowych, wymagają autoryzacji na „urządzeniu zaufanym”. Co więcej, jeśli nagle 100 osób zaloguje się na nasze konto w aplikacji, chociażby byli po drugiej stronie świata, to my się o tym nie dowiemy. Nie ma też żadnej możliwości sprawdzenia listy urządzeń, na których jesteśmy zalogowani na swoje konto i biorąc pod uwagę, że nawet Facebook to oferuje, to pozostawię to niedopatrzenie bez komentarza.

To nie wszystko

Tomasz podsumowuje jeszcze braki w kwestii powiadomień, jak niedbale rozwiązane jest nieudokumentowane API i więcej, ale po szczegóły już odsyłam do jego artykułu.

Subiektywnie

Nie trzeba daleko szukać i wystarczy udać się na YouTube’a, wpisać odpowiednią frazę i będziemy mieli do dyspozycji dokładne instrukcje, jak ukraść Teslę czy inne samochody innych marek. Prawda jest taka, że tradycyjni producenci kompletnie nie nadążają z odpowiednim zabezpieczaniem wprowadzanych przez siebie nowości (jak chociażby dostęp bez kluczyka, który mamy od wielu lat). Bardziej jednak zaskakuje mnie fakt, że Tesla, która przede wszystkim powinna rozumieć te zagrożenia, tak bardzo niekompetentnie podchodzi do tematu, szczególnie że hackerom już udało się niejednokrotnie zdalnie przejąć kontrolę nad samochodami, w tym nad systemem hamulcowym.

To między innymi dlatego chciałbym, aby ktoś na świecie nadal produkował nowe samochody opierające się wyłącznie o rozwiązania mechaniczne – bez żadnej elektroniki na pokładzie – o których świat w wielu przypadkach już zapomniał.

  1. Two-factor authentication.

Wojtek Pietrusiewicz

Wydawca, fotograf, podróżnik, podcaster – niekoniecznie w tej kolejności. Lubię espresso, mechaniczne zegarki i zwinne samochody. Niedawno rozpocząłem prowadzenie kursów Lightrooma i fotografii na Pikselowe.pl – zapraszam.


Dodaj komentarz

Dbamy o Twoją prywatność

Od dnia 25 maja 2018 r. dostosowujemy naszą działalność do nowego Rozporządzenia Unii Europejskiej o Ochronie Danych Osobowych (RODO).

Zaktualizowaliśmy naszą Politykę Prywatności, aby udzielić Ci bardziej szczegółowych informacji, w jaki sposób iMagazine.pl chroni twoją prywatność, oraz w jaki sposób możesz korzystać ze swoich praw odnośnie danych osobowych.

Kliknij w poniższy link, aby zapoznać się z zaktualizowaną Polityką Prywatności.

Dziękujemy, że jesteś z nami,
redakcja iMagazine

DOWIEDZ SIĘ WIĘCEJ OK