Dezelfde onderzoekers hackten het Tesla Model S keyless entry-systeem en beschrijven nu hoe de beveiligingsmaatregelen die in het recentere Tesla Model X zijn geïmplementeerd, kunnen worden omzeild.
Ze laten zien hoe de Tesla Model X op batterijen met een prijs van meer dan $ 100.000 binnen een paar minuten kan worden gestolen. Tesla heeft een draadloze software-update uitgebracht om deze problemen te verhelpen.
Met de Tesla Model X-sleutelhanger kan de eigenaar zijn auto automatisch ontgrendelen door het voertuig te naderen of door op een knop te drukken.
Om de integratie met phone-as-key-oplossingen te vergemakkelijken, waarmee een smartphone-APP de auto kan ontgrendelen, komt het gebruik van Bluetooth Low Energy (BLE) steeds vaker voor bij sleutelhangers. De Tesla Model X-sleutelhanger is niet anders en gebruikt BLE om met het voertuig te communiceren.
“Met behulp van een aangepaste elektronische regeleenheid (ECU), verkregen van een berging Tesla Model X, waren we in staat om draadloos (tot op 5 meter afstand) sleutelhangers te dwingen zichzelf te adverteren als aansluitbare BLE-apparaten. Door reverse engineering van de Tesla Model X-sleutelhanger hebben we ontdekt dat de BLE-interface updates van de software op de BLE-chip op afstand mogelijk maakt. Omdat dit updatemechanisme niet goed was beveiligd, waren we in staat om draadloos een sleutelhanger te compromitteren en de volledige controle erover te krijgen. Vervolgens konden we geldige unlock-berichten krijgen om de auto later te ontgrendelen ”, zegt Lennert Wouters, promovendus bij de COSIC-onderzoeksgroep.
“Met de mogelijkheid om de auto te ontgrendelen, konden we verbinding maken met de diagnose-interface die normaal door onderhoudsmonteurs wordt gebruikt. Vanwege een kwetsbaarheid in de implementatie van het koppelingsprotocol kunnen we een aangepaste sleutelhanger aan de auto koppelen, waardoor we permanent toegang hebben en met de auto weg kunnen rijden ”, voegt Wouters toe.
“Samenvattend kunnen we een Tesla Model X-voertuig stelen door eerst een sleutelhanger van een slachtoffer binnen ongeveer 5 meter te benaderen om de sleutelhanger uit de slaapstand te halen. Daarna kunnen we onze eigen software naar de sleutelhanger sturen om er volledige controle over te krijgen. Dit proces duurt 1,5 minuut, maar kan gemakkelijk worden uitgevoerd over een bereik van meer dan 30 meter. Nadat we de sleutelhanger hebben gecompromitteerd, kunnen we geldige opdrachten krijgen waarmee we het doelvoertuig kunnen ontgrendelen. Nadat we het voertuig hebben benaderd en ontgrendeld, hebben we toegang tot de diagnoseconnector in het voertuig. Door verbinding te maken met de diagnoseconnector, kunnen we een aangepaste sleutelhanger aan de auto koppelen. Met de nieuw gekoppelde sleutelhanger kunnen we de auto starten en wegrijden. Door gebruik te maken van deze twee zwakke punten in het Tesla Model X keyless entry-systeem zijn we dus in staat om de auto binnen een paar minuten te stelen ”, zegt Dr. Benedikt Gierlichs, onderzoeker bij COSIC.
De proof of concept-aanval werd gerealiseerd met behulp van een zelfgemaakt apparaat (zie de video) gebouwd met goedkope apparatuur: een Raspberry Pi-computer ($ 35) met een CAN-schild ($ 30), een aangepaste sleutelhanger en ECU van een bergingsvoertuig ($ 100 op eBay) en een LiPo-batterij ($ 30).
De Belgische onderzoekers informeerden Tesla voor het eerst over de geïdentificeerde problemen op 17 augustus 2020. Tesla bevestigde de kwetsbaarheden, beloonde hun bevindingen met een bugbounty en begon te werken aan beveiligingsupdates. Als onderdeel van de 2020.48 draadloze software-update, die nu wordt uitgerold, wordt een firmware-update naar de sleutelhanger gepusht.