De bekende fabrikant van elektrische auto’s voert vanaf deze week een software-update door van de sleutel van zijn Model X.
Tesla grijpt daarmee in op een beveiligingslek dat is onthuld door de Leuvense onderzoekers van het Cosic-lab, experts in digitale beveiliging en cryptografie. Professor Bart Preneel staat aan het hoofd van het lab.
Twee kwetsbaarheden
Cosic-security onderzoeker Lennert Wouters kon de sleutel van een Model X draadloos hacken via bluetooth, omdat het updatemechanisme ervan niet goed beveiligd was, zo schrijft Wired.
Die beveiligingsfout liet toe om de auto te openen. Een tweede lek maakt het vervolgens mogelijk om een andere aangepaste sleutel aan de auto te koppelen en ermee weg te rijden.
‘In principe maakt een combinatie van twee kwetsbaarheden het mogelijk dat een hacker in een paar minuten tijd een Model X steelt. Als je ze combineert, krijg je een veel krachtigere aanval’, zegt Wouters in Wired, die van plan is zijn bevindingen te presenteren op de Real World Crypto-conferentie in januari in Amsterdam.
Niet eerste keer
Het is niet dat Tesla niet op de hoogte was. De KU Leuven-onderzoekers verwittigden Tesla in augustus al van de zwakke plekken in de beveiliging. De fabrikant erkende de problemen en stuurt nu dus bij.
Tesla vertelde Wouters dat de patch zowat een maand kon duren om over al de betreffende voertuigen uit te rollen. In tussentijd was de Belgische onderzoeker naar eigen zeggen voorzichtig met het publiceren van de code of het onthullen van technische details die autodieven in staat zouden stellen om zijn trucs uit te voeren.
Het is overigens niet de eerste keer dat Tesla met schaamrood op de wangen aan de onderzoekers van de KU Leuven moest toegeven dat er beveiligingslekken waren. Ook bij het oudere Model S legde het Cosic-lab kwetsbaarheden bloot in de sleutels.
Om te kunnen beoordelen moet u ingelogd zijn: