Tesla har tatt markedet med storm, og er en av de mest solgte elbilene i Norge. Selskapet var tidlig ute med en app som lar bileieren skru på og av varmen, låse opp bilen, og til og med starte kjøretøyet uten nøkkel.
Ulempen med all denne teknologien er at den gjør bilen sårbar for angrep.
– Alt for lett
Det viser det norske sikkerhetsfirmaet Promon når de ved hjelp av et stjålet passord og brukernavn kan logge seg inn i bilens hjerne og kjøre av gårde med kjøretøyet som har en prislapp tett på millionen.
– Vi mener at dette er alt for lett å gjennomføre, og det ønsker vi å belyse, sier Lars Lunde Birkeland i Promon til digi.no.
Brukernavnet og passordet har deres sikkerhetsekspert Benjamin Adolphi fått tilgang på ved å utnytte en sårbarhet i Android-operativsystemet. Operativsystemet følger med alle Samsung, Huawei og LG-telefoner.
Krever lite kunnskap
Ifølge Promon har 90 prosent av brukere med en slik smarttelefon ikke oppdatert operativsystemet. Dermed er de utsatt for sårbarheten.
– Angrepet på Tesla er skalerbart, og krever veldig lite kunnskap for å sette opp. Vi har valgt et scenario som er veldig kjent. Ved å sette opp et ondsinnet trådløst nettverk får vi tilgang til brukernavn og passord til bileieren. Så brukes dette for å stjele bilen hans i ettertid, sier Lunde Birkeland.
Ifølge ham var det naturlig å bruke Telsa som eksempel da bilselskapet ligger langt fremme når det kommer til å ta i bruk teknologi i sine biler.
(artikkelen fortsetter under)
Birkeland sier at angrepet ble utformet på bare noen timer. Han mener at alle som vil stjele en bil på denne måten, har muligheter til å ta samme metode i bruk.
Ikke overrasket over den dårlige sikkerheten
Promon er ikke overrasket over at angrepet lot seg gjennomføre såpass enkelt.
De har jobbet med bank- og finansbransjen i en årrekke. Der er denne type angrep vanlig praksis.
Derfor har også mange av disse institusjonene omgått problematikken ved å benytte seg av tofaktorautentisering for innlogging.
Det vil si at i tillegg til å ha et passord og brukernavn, må brukeren autentiseres av en tredjepart.
BankID på mobil er et eksempel på en slik løsning. En innloggingsbrikke til nettbanken er et annet. Tesla har ikke denne ekstra sikkerheten. Alle som får tilgang til passordet og brukernavnet til appen vil derfor kunne kjøre av gårde med bilen.
Et passord alene er ikke sikkert
I forrige uke fortalte professor i matematikk Kristian Gjøsteen ved Norges teknisk-naturvitenskapelige universitet at et passord alene ikke er veldig sikkert.
– Det skal ikke mer enn at noen titter deg over skulderen mens du taster det inn før sikkerheten er brutt, konstaterte han da.
Promon sier at de har vært i kontakt med Tesla angående mangelen på sikkerhet i appen. Hvordan bilselskapet forholder seg for å øke sikkerheten kjenner de ikke til.
– Vi kontaktet Tesla for en god stund siden for å gi dem tid til å reagere på en måte som de finner relevant, sier teknologidirektør Tom Lysemose Hansen i Promon til digi.no.
Få linjer med kode
Han sier at selskapet har tatt i bruk metoder som er tilgjengelige for alle kriminelle i dag.
– I tillegg har vi skrevet noen få linjer med kode, sier Lysemose Hansen.
Hos Tesla Norge mener de imidlertid at dette ikke er et Tesla-problem, siden feilen ikke rammer selskapets biler alene. Demonstrasjonen viser noe de fleste skjønner på egenhånd: Dersom en telefon blir hacket, er det ikke sikkert at appene er trygge, konstaterer selskapet.
– Promon viser her at man kan bruke kjente former for sosial utnytting til å lure folk til å installere skadelig programvare på Android-telefonen sin. Dette utsetter hele telefonen og apper for risiko, inkludert Tesla-appen, sier kommunikasjonssjef Even Sandvold Roland til digi.no.
Tesla: – Hold telefonene deres oppdatert
Ifølge Tesla har ingen brukere i Norge blitt frastjålet bilen sin via et angrep som dette tidligere.
Kommunikasjonssjefen har derimot et tips til alle Tesla-eiere:
– Vi anbefaler alle å holde telefonen oppdatert med nyeste versjon av det mobile operativsystemet de bruker.
Tesla-eier Espen Kalland sier til digi.no at han ikke er bekymret for problematikken.
Han mener at det er opp til forbrukeren å ta sikkerheten på alvor.
– Så lenge man holder seg oppdatert og bytter passord ofte bør ikke dette være noe problem, sier han.
Interessert i elbiler? Da bør du sjekke ut temasiden om elbiler hos TU.no »
