Her stikker norske hackere av med elbilen

Av
Artikkelen er over 2 år gammel

Bruker Teslas egen app til å lokalisere bilen, låse opp – og kjøre avgårde.

DEL

BROOM.NO: Tesla ligger langt framme i løypa når det gjelder teknologi. De var også tidlig ute med en app, som gir eieren av bilen en rekke tilvalg. Blant annet kan den brukes til å slå av og på lysene, låse opp bilen og lokalisere bilen.

Teslas biler er dessuten utstyrt med sitt eget SIM-kort og er koblet opp mot internett. Slik kan en blant annet sørge for trådløse oppdateringer av bilen underveis.

Tar kontroll med Appen

Men all teknologien kan også gjøre bilen sårbar i forhold til hackere. Enn så lenge har bilen i seg selv i stor grad vist seg å være trygg for denne typen kriminalitet.

Nå viser det seg imidlertid at smarttelefonen som for eksempel Tesla-appen ligger på, kan være et sårt punkt. Det har det norske IT-firmaet Promon AS avdekket.

De klarer å komme seg inn på appen ved å bryte seg gjennom sikkerhetsmuren på smarttelefonen, og slik finne ut hvor bilen står, låse den opp – og stikke av med den.

– Det kreves ikke alle verdens kompetanse å få det til heller, sier Lars Lunde Birkeland i Promon.

Får brukernavn og passord

En måte å gjøre det på, er å få eieren av bilen til å logge seg på et gratis WiFi-nettverk. Dette nettverket opprettes av tyvene, og gis et navn som høres "troverdig" ut. For eksempel navnet på restauranten bileieren besøker.

Når vedkommende besøker en nettside, blir han sendt videre til en reklame rettet mot Tesla-eiere. Når bileieren klikker seg videre, sendes han videre til en falsk Tesla-app.

Nesten gang denne åpnes, må eieren legge inn brukernavn og passord. Dette blir så sendt videre til "hackeren", som nå har full tilgang til bilen.

Vil ha fokus på Appsikkerhet

Hvis bileieren logger seg på reklamen, har hackeren fått det han/hun trenger, og kan bruke en PC eller smarttelefon til å lokalisere bilen, låse den opp og kjøre avgårde.

Tom Lysemose Hansen, grunnlegger og teknologisjef hos Promon sier de ønsker et generelt fokus på app-sikkerhet:

– Mobilfokuserte hackere er mer kompetente enn noen gang, og utnytter mangelen på sikkerhet i mobile apper som en stadig mer lukrativ inntektskilde. Vår test er den første til å bruke Tesla sin mobilapp som en inngangsport til selve bilen, og går et skritt videre ved å vise at en app som ikke er optimalt sikret kan føre til alvorlige konsekvenser.

– Absolutt ikke bra nok i dag

Ved å gå vekk i fra å ha en fysisk bilnøkkel for å låse opp bildøren, tar bilindustrien det samme steget som for eksempel bank- og betalingsindustrien. Fysiske passordbrikker er erstattet av mer brukervennlige løsninger for kundeidentifisering direkte på mobilen.

– Appsikkerhet bør derfor være en prioritet for enhver bedrift som tilbyr en app som inneholder sensitive brukerdata. Og vi mener at bilindustriens behov for å gi et tilsvarende nivå av mobilsikkerhet er på sin plass, dette er absolutt ikke tilfelle i dag, fortsetter Lysemose Hansen.

– Gjelder ikke Tesla spesielt

Tesla Norge tar funnene til Pronom til etterretning, og har vært i dialog med IT-selskapet i rundt en måned.

– Denne videoen viser ingen sårbarheter som gjelder Tesla spesielt. Demonstrasjonen viser noe de fleste skjønner på egenhånd: Dersom en telefon blir hacket, er det ikke sikkert at appene er trygge, sier kommunikasjonsdirektør, Even Sandvold Roland.

Oppdater til nyeste software

Han påpeker videre at researcherne viser at man kan bruke kjente social engineering-teknikker for å lure folk til å installere skadelig programvare på Android-telefonen sin.

– Dette utsetter hele telefonen og alle apper for risiko, inkludert Tesla-appen. Vi anbefaler alle å holde telefonen oppdatert med nyeste versjon av det mobile operativsystemet du bruker. Vi har aldri fått melding om at noen har stjålet en Tesla gjennom en kompromittert App, fortsetter Sandvold Roland.

En annen ting for de som måtte finne på å stjele en Tesla, er at den er vanskelig å komme langt med. Takket være nettopp appen, kan den spores av Tesla, og politiet kan informeres om hvor den måtte befinne seg.

Bilen, og eventuelt tyven, risikerer altså å bli raskt lokalisert.

Artikkeltags