Niemiecki haker David Colombo znalazł sposób, by wysyłać komendy sterujące do samochodów Tesli, dzięki czemu mógł do pewnego stopnia kontrolować 25 pojazdów w 13 różnych krajach. Był w stanie wyłączać kamery, odryglowywać drzwi, otwierać okna, sprawdzić precyzyjną lokalizację auta, a nawet – przy fizycznej obecności w kabinie – rozpocząć jazdę.
Możliwy zdalny dostęp do funkcji Tesli
Jak tłumaczy sam Colombo, problem nie dotyczył infrastruktury Tesli ani samej aplikacji mobilnej. Dla bezpieczeństwa nie chciał zdradzić, gdzie znalazł błąd. W efekcie jego zgłoszenia ucierpieli m.in. użytkownicy aplikacji TezLab, którzy zauważyli, że w środę, 12 stycznia, równocześnie wygasło kilka tysięcy tokenów umożliwiających dostęp do API Tesli. Wszystko po tym, jak Colombo skontaktował się z producentem informując go o problemie.
Haker przyznaje, że nie mógł zdalnie jeździć samochodami, nie było więc opcji, żeby zaatakował Kapitol (czy tam Kreml) setką Tesli. Ale miał te same możliwości, którymi dysponował ktoś z aplikacją mobilną producenta: mógł zwiększać głośność muzyki, trąbić, błyskać światłami, otwierać okna – i to wszystko również w trakcie jazdy. Po odczytaniu lokalizacji samochodu mógł do niego przyjść, wsiąść i pojechać (źródło), dokładnie tak samo, jak to robił Czytelnik Bronek przy użyciu swojego zegarka:
Na razie nie jest jasne, gdzie była luka, którą odnalazł dziewiętnastolatek z Niemiec. Problem należy uznać jednak za poważny, ponieważ pozwala na odjechanie samochodem bez wzbudzania jakichkolwiek podejrzeń. Z tego względu właścicieli Tesli zachęcamy do aktywowania funkcji PIN to Drive, a zniechęcamy do zostawiania plecaków czy laptopów w bagażniku – przynajmniej do czasu aktualizacji.
Aktualizacja 2022/01/15, godz. 16.54: nasz komentarz podsunął nam twitta hakera, z którego wynika, że problemem nie była aplikacja TezLab. Skorygowaliśmy materiał.
Nota od redakcji www.elektrowoz.pl: tak to już jest, kiedy dajemy zewnętrznym aplikacjom dostęp do najbardziej kluczowych danych…
