Бельгийские исследователи обнаружили уязвимость в программном обеспечении брелока от электрокара Tesla Model X. Благодаря этому недочету в системе, злоумышленник может без особых трудностей угнать машину всего за несколько минут. Tesla сообщила, что уже занимается разработкой обновления, которое сможет закрыть «дыру» и обеспечить безопасность клиентов. О том, как удалось взломать электрокар Tesla и откуда появляются такие уязвимости — в материале «Газеты.Ru».
Бельгийские исследователи нашли «дыру» в программном обеспечении автомобиля Tesla Model X, из-за которой электрокар можно угнать всего за несколько минут, сообщает Business Insider. Уязвимость была найдена в системе обновления ПО брелока от автомобиля. Поскольку механизм обновления не был должным образом защищен, один из авторов исследования Ленерт Воутерс смог по беспроводной сети взломать брелок и тем самым взять автомобиль Tesla под свой контроль.
Для этого Воутерсу понадобились смартфон и электронный блок управления от такой же машины, а также VIN-код автомобиля, который можно легко прочитать через лобовое стекло. Чтобы осуществить взлом, следует не отходить от выбранного электромобиля более чем на 5 метров. Далее следует перехватить сигнал разблокировки, сесть в машину, привязать свой брелок к бортовой системе Tesla и уехать.
Tesla сообщила, что разработка патча, исправляющего все уязвимости транспортного средства, может занять около месяца.
Старший инженер по безопасности мобильных устройств Avast Войтех Бочек в беседе с «Газетой.Ru» отметил, что брелок Tesla не был защищен должным образом, и злоумышленники могли удаленно загружать в него собственное программное обеспечение.
«После успешной загрузки киберпреступники получили бы полный контроль над ключом и могли бы использовать его для разблокировки автомобиля. Далее, оказавшись внутри машины, они могли бы использовать диагностический порт, чтобы связать свой собственный ключ-брелок с Tesla и с его помощью запустить двигатель и тронуться», — объяснил Бочек.
«С увеличением сложности системы защиты автомобилей растет и вероятность появления подобных недочетов безопасности. Здесь основная ошибка заключалась в том, что инженеры Tesla забыли правильно защитить чип BLE-ключа — но исправление уже внедряется для всех пользователей Tesla», — объясняет Бочек.
Эксперт отметил, что эта история подчеркивает важность наличия достойно оплачиваемых программ по вознаграждениям исследователей за найденные ошибки безопасности.
«Также важно наличие систем беспроводного обновления, которые позволили Tesla внедрить исправления дистанционно и не заставлять владельцев ехать в дилерский центр для обновления ключей», — рассуждает Бочек.
Также эксперт напомнил о том, что пользователям любого «умного» устройства всегда надо помнить о том, что в любом программном обеспечении может появится уязвимость.
«Можно защитить себя, регулярно обновляя свои устройства. Иногда сами производители, как Tesla в данном случае, рассылают обновления, которые исправляют уязвимости, подобные этой», — заключил Войтех Бочек.