Onderzoekers van COSIC, een imec-onderzoeksgroep aan KU Leuven, hebben ernstige beveiligingsproblemen ontdekt in de draadloze autosleutel van de Tesla Model X. Dezelfde onderzoekers hadden eerder de sleutel van de Tesla Model S gehackt.
Ze tonen nu aan hoe de beveiliging van de meer recente Tesla Model X kan worden omzeild. Met hun aanval kon de wagen in een paar minuten worden gestolen. Tesla heeft een software-update uitgebracht om deze problemen op te lossen.
Een Tesla Model X wordt automatisch ontgrendeld als de autosleutel in de buurt van de wagen komt of als de eigenaar op een knop van de sleutel drukt.
Deze communicatie verloopt via Bluetooth Low Energy (BLE), een technologie die steeds vaker wordt gebruikt – ook door andere autofabrikanten – omdat ze toelaat om eveneens een smartphone-app als sleutel te gebruiken.
"Met behulp van een aangepaste Electronic Control Unit (ECU), verkregen uit een wrak van een Tesla Model X, zijn we erin geslaagd om een sleutel te vermommen als een beschikbaar BLE-toestel.
Door reverse engineering van de Tesla Model X-sleutel hebben we namelijk ontdekt dat de BLE-interface het mogelijk maakt om de software op de BLE-chip draadloos up te daten.
Dit updatemechanisme bleek niet goed beveiligd. Daardoor konden we vanop afstand de controle over de sleutel volledig overnemen", zegt Lennert Wouters, doctoraatsstudent aan de COSIC-onderzoeksgroep.
"Eens we daarmee de auto geopend hadden, konden we verbinding maken met de diagnostische interface die wordt gebruikt door onderhoudstechnici van Tesla.
Door een kwetsbaarheid in de implementatie van het verbindingsprotocol konden we een andere gemodificeerde sleutel aan de auto koppelen, waardoor met de auto konden wegrijden", aldus Wouters.
Twee zwakke punten
"Door gebruik te maken van twee zwakke punten in de Tesla Model X sleutel kunnen we de auto dus in een paar minuten stelen", vat COSIC-onderzoeker Benedikt Gierlich samen.
"De aanval werkt als volgt. Op vijf meter afstand sturen we een bericht dat de sleutel van ons doelwit activeert. Daarna kunnen we onze software naar die sleutel sturen om de controle ervan over te nemen.
Dit proces duurt anderhalve minuut en kan gemakkelijk worden uitgevoerd over een afstand van meer dan 30 meter. Na het hacken van de sleutel kunnen we ontgrendelingsberichten bekomen om de auto te openen.
Daarna maken we een koppeling met de diagnostische interface van het voertuig. Vervolgens kunnen we een aangepaste sleutel aan de auto verbinden. Met deze aangepaste sleutel kunnen we de wagen starten en wegrijden."
De aanval werd gedemonstreerd met een zelfgemaakt toestel bestaande uit goedkope hardware (zie video): een Raspberry Pi-computer (€30) met een CAN-schild (€25), een aangepaste sleutel, een ECU van een autowrak (€90 op eBay) en een LiPo-batterij (€25).
De onderzoekers van COSIC hebben Tesla op 17 augustus 2020 op de hoogte gesteld van deze zwakheden. Tesla heeft de problemen bevestigd en hen een bug bounty toegewezen.
Om de problemen op te lossen, heeft Tesla een beveiligingsupdate ontwikkeld. Als onderdeel van de 2020.48 over-the-air software-update, die nu wordt uitgerold, stuurt de Model X een firmware-update naar de sleutel.
Ambulante verkopers van voedingsmiddelen en kappers aan huis mogen vanaf maandag opnieuw de weg op om klanten te bedienen. Dat heeft minister van Zelfstandigen en kmo's David Clarinval (MR) een dag na het Overlegcomité verduidelijkt aan Belga.
Ook andere beroepsgroepen mogen hun mouwen opnieuw opstropen: uitbaters van privésauna's, fotografen en professionele kappersscholen.
Wat als hartspecialisten de plaatsing van een nieuwe hartklep nu eens vóór de operatie en in 4D zouden kunnen simuleren? 4D CT-scanners voegen de dimensie tijd toe aan driedimensionale beelden en brengen de beweging van het hart op een gedetailleerde manier in beeld.
Het imec.icon project DIASTOLE, waar de VUB, UZ Brussel en imec deel van uitmaken, baant de weg om 4D-scans op een veilige manier te implementeren in de hartchirurgie.
Kom leren in openlucht in één van onze domeinen
Kom met je klas naar buiten en geef je les op een andere manier. In de verschillende domeinen en centra van de provincie Antwerpen ben je het hele jaar welkom om met je klas buiten te leren. Leren in openlucht heeft een gunstig effect op het welzijn en het leren van kinderen en jongeren. Zowel basis- als secundaire scholen zijn welkom.
Mathieu van der Poel (Alpecin-Fenix) heeft als eerste Nederlander de Strade Bianche op zijn erelijst gezet.
In een editie voor de geschiedenisboeken, met alle grote namen op de afspraak, rekende hij op de steile klim naar het Piazza del Campo af met Julian Alaphilippe en Egan Bernal. Titelverdediger Wout van Aert moest lossen op de voorlaatste grindstrook. (VRTNWS)
Op de planeet Mars heeft de robotjeep Perseverance een eerste ritje gemaakt. Met succes, zo meldt het Amerikaanse ruimtevaartagentschap NASA.
Op de beelden zie je de bandenafdruk op de oppervlakte van de rode planeet.
Na vier meter gereden te hebben, roteerde Perseverance naar links, om vervolgens zowat 2,5 meter achteruit te rijden.
Lydia Peeters: 'In het belang van onze transportbedrijven stappen we naar Hof van Justitie van Europese Unie'
België stapt onder leiding van Vlaanderen naar het Hof van Justitie van de Europese Unie om de nieuwe cabotageregels die Europa wil opleggen aan te vechten.
15,1% van de huisartsen en andere eerstelijnszorgverleners tewerkgesteld in de huisartsenpraktijk hadden voordat de vaccinatiecampagne startte antistoffen tegen het coronavirus.
Deze resultaten zijn vergelijkbaar met de bevindingen in de algemene bevolking. Dat blijkt uit een studie uitgevoerd door de Universiteit Antwerpen, l'Université de Liège en Sciensano (CHARMING: Coronavirus HuisARtsenpraktijk – MédecINe Générale).
Voor de cultuursector komt er pas vanaf 1 april een eerste versoepeling. Vanaf dan mogen maximaal 50 personen samenkomen voor een evenement, mét mondmasker en in een gecontroleerde omgeving. Vanaf mei zou er meer mogelijk zijn, al is nog niet duidelijk wat.
"Het is moeilijk om er tevreden mee te zijn", reageert Frederik Sioen van de Crisiscel Cultuur. "We hebben een werkbaar kader nodig. Met 50 man in april gaan we het niet redden. We hebben veel faillissementen in onze sector, mensen belanden in de armoede."
Maandag 8 maart vieren we naar goede gewoonte internationale vrouwendag. Vrouw & Maatschappij afdeling van CD&V Geel maakt van deze dag gebruik om vrouwen die tijdens het afgelopen jaar een bijzondere inzet getoond hebben in de bloemetjes te zetten.
Nafi Thiam heeft haar favorietenstatus volledig waargemaakt en is voor de 2e keer Europees indoorkampioene op de 5-kamp. Ze verbeterde daarbij het Belgisch record van Tia Hellebaut.
Verrassender is het zilver van Noor Vidts. De 24-jarige studente had een dijk van een dag met liefst 5 persoonlijke records. De Hongaarse Xenia Krizsan pakte het brons. (VRT NWS)