Onderzoekers van COSIC, een imec-onderzoeksgroep aan KU Leuven, hebben ernstige beveiligingsproblemen ontdekt in de draadloze autosleutel van de Tesla Model X. Dezelfde onderzoekers hadden eerder de sleutel van de Tesla Model S gehackt.
Ze tonen nu aan hoe de beveiliging van de meer recente Tesla Model X kan worden omzeild. Met hun aanval kon de wagen in een paar minuten worden gestolen. Tesla heeft een software-update uitgebracht om deze problemen op te lossen.
Een Tesla Model X wordt automatisch ontgrendeld als de autosleutel in de buurt van de wagen komt of als de eigenaar op een knop van de sleutel drukt.
Deze communicatie verloopt via Bluetooth Low Energy (BLE), een technologie die steeds vaker wordt gebruikt – ook door andere autofabrikanten – omdat ze toelaat om eveneens een smartphone-app als sleutel te gebruiken.
"Met behulp van een aangepaste Electronic Control Unit (ECU), verkregen uit een wrak van een Tesla Model X, zijn we erin geslaagd om een sleutel te vermommen als een beschikbaar BLE-toestel.
Door reverse engineering van de Tesla Model X-sleutel hebben we namelijk ontdekt dat de BLE-interface het mogelijk maakt om de software op de BLE-chip draadloos up te daten.
Dit updatemechanisme bleek niet goed beveiligd. Daardoor konden we vanop afstand de controle over de sleutel volledig overnemen", zegt Lennert Wouters, doctoraatsstudent aan de COSIC-onderzoeksgroep.
"Eens we daarmee de auto geopend hadden, konden we verbinding maken met de diagnostische interface die wordt gebruikt door onderhoudstechnici van Tesla.
Door een kwetsbaarheid in de implementatie van het verbindingsprotocol konden we een andere gemodificeerde sleutel aan de auto koppelen, waardoor met de auto konden wegrijden", aldus Wouters.
Twee zwakke punten
"Door gebruik te maken van twee zwakke punten in de Tesla Model X sleutel kunnen we de auto dus in een paar minuten stelen", vat COSIC-onderzoeker Benedikt Gierlich samen.
"De aanval werkt als volgt. Op vijf meter afstand sturen we een bericht dat de sleutel van ons doelwit activeert. Daarna kunnen we onze software naar die sleutel sturen om de controle ervan over te nemen.
Dit proces duurt anderhalve minuut en kan gemakkelijk worden uitgevoerd over een afstand van meer dan 30 meter. Na het hacken van de sleutel kunnen we ontgrendelingsberichten bekomen om de auto te openen.
Daarna maken we een koppeling met de diagnostische interface van het voertuig. Vervolgens kunnen we een aangepaste sleutel aan de auto verbinden. Met deze aangepaste sleutel kunnen we de wagen starten en wegrijden."
De aanval werd gedemonstreerd met een zelfgemaakt toestel bestaande uit goedkope hardware (zie video): een Raspberry Pi-computer (€30) met een CAN-schild (€25), een aangepaste sleutel, een ECU van een autowrak (€90 op eBay) en een LiPo-batterij (€25).
De onderzoekers van COSIC hebben Tesla op 17 augustus 2020 op de hoogte gesteld van deze zwakheden. Tesla heeft de problemen bevestigd en hen een bug bounty toegewezen.
Om de problemen op te lossen, heeft Tesla een beveiligingsupdate ontwikkeld. Als onderdeel van de 2020.48 over-the-air software-update, die nu wordt uitgerold, stuurt de Model X een firmware-update naar de sleutel.