BLE phone-as-a-key vuln позволява достъп до Tesla Model 3 • The Register

Собствениците на Tesla Model 3 и Y, внимавайте: функцията за пасивно влизане на вашия автомобил може потенциално да бъде измамена от релейна атака, което да доведе до кражба на флаш двигателя.

Открита и демонстрирана от изследователи от групата NCC, техниката се състои в предаване на Bluetooth Low Energy (BLE) сигнали от смартфон, свързан към Tesla, към превозното средство. Далеч от това просто да отключва вратата, този хак позволява на нечестник да запали колата и да потегли.

По същество това, което се случва, е следното: сдвоеният смартфон трябва да бъде физически близо до Tesla, за да го отключи. Техниката NCC включва една притурка близо до сдвоения телефон и друга притурка близо до колата. Притурката от страната на телефона предава сигнали от телефона към притурката от страна на автомобила, която ги предава на автомобила, за да го отключи и стартира. Това обикновено не трябва да се случва, защото телефонът и колата са толкова далеч един от друг. Автомобилът има защитен механизъм – базиран на измерване на латентността на предаването, за да се открие, че сдвоено устройство е твърде далече – който в идеалния случай предотвратява работата на препредадени сигнали, въпреки че това може да бъде преодоляно чрез просто намаляване на латентността на процеса на реле.

В сценарий от реалния живот жертвата може да бъде в сграда, точно извън обсега на тяхната Tesla, докато стои близо до мошеник с релейна джаджа на нея. Тази притурка предава сигнали от телефона на жертвата към Tesla отвън чрез друг негодник с джаджа, който скача и открадва отключеното превозно средство.

В своето тестване NCC Group заяви, че е успяла да извърши релейна атака, която отвори Tesla Model 3, в която сдвоеното устройство на превозното средство се намира в къща на около 25 метра от превозното средство. Използвайки релейни устройства от страната на телефона и от страната на превозното средство, направени от модули за разработка на Bluetooth за $50, екипът каза, че са успели да получат пълен достъп до Tesla, когато релето от страната на превозното средство беше доведено до по-малко от 3 метра.

Докато NCC тества атаката само върху Tesla Model 3, Султан Хан, старши изследовател по сигурността в NCC и автор на съвета, каза, че технологията, използвана в приложението Tesla, е същата, когато се свързва с Model 3 или Y. Хан също теоретизира, че Ключодържателите на модел 3 и Y също вероятно са били засегнати, въпреки че те също не са тествани.

Рецензията добави:

Ключов проблем

Tesla не е имала добра история, когато става въпрос за изследователи по сигурността, които намират начини да отключат нейните автомобили. През 2014 г. група китайски студенти изпълниха атака на Model S, която им позволи да отворят врати, да натиснат клаксони и други, докато превозното средство е в движение, а втора китайска група направи почти същото. Същото през 2016 г. Същата година приложението Tesla беше използвано, за да позволи на нападателите да проследяват, локализират, отключват и стартират превозни средства. Две години по-късно белгийски изследователи успяха да клонират ключодържателите на Tesla, давайки им пълен контрол над въпросното превозно средство.

Проблем с Bluetooth

В същото време, когато NCC Group пусна своя преглед на релето Tesla BLE, той пусна втори преглед, написан от Khan. В този преглед той обяснява как новият метод на NCC за отвличане на Tesla работи срещу всичко, което разчита на BLE, за да потвърди присъствието на оторизиран потребител.

В съвета Хан заявява, че BLE атаките с близкото реле са известни от години. За щастие на феновете на протокола, съществуващите релейни атаки въвеждат твърде много латентност. „Продуктите обикновено се опитват да предотвратят релейни атаки, като налагат строги изтичания за отговор на протокола за общи атрибути (GATT) и/или използват криптиране на слоя на връзката“, каза Хан.

Инструментът, разработен от NCC Group за нейните изследвания, работи на слоя на връзката, който според Хан намалява латентността до приемливи диапазони на GATT. По този начин той е в състояние да заобиколи ограничението на латентността и криптирането на слоя на връзката, каза Хан.

Трябва да се отбележи, че спецификацията на Bluetooth Core не твърди, че BLE сигналите за близост са сигурни. В актуализациите на спецификацията на Proximity Profile от 2015 г., Bluetooth Special Interest Group (SIG) заяви, че „Proximity Profile не трябва да се използва като единствена защита на ценни активи“ и освен това „понастоящем няма известен начин за защита срещу такива атаки чрез Bluetooth ” Технология.”

Собствениците на автомобили трябва да деактивират пасивното влизане

Хан каза, че екипът по сигурността на продуктите на Tesla е бил уведомен през април за грешката. Отговорът им беше, че това е известно ограничение на системата за пасивно влизане.

Собствениците на Tesla, загрижени за релейна атака, трябва да използват функцията на своя ПИН за задвижване на Tesla, както и да деактивират пасивното влизане:

Хан също така каза, че добавянето на проверки като приложението, отчитащо последното известно местоположение на устройството и обхвата на времето на полета, може да защити собствениците, но това зависи от Tesla да поправи, а Хан каза на Bloomberg, че автомобилният производител заяви, че няма планове да прави това.

Тъй като тази атака потенциално засяга толкова много устройства, използвани за защита на толкова много неща, това е сериозен проблем. Хан каза, че Bluetooth SIG е бил наясно с недостатъка и му е казал, че „по-точни механизми за определяне на обсега са в процес на разработка“.

Помолихме Bluetooth SIG да ни разкаже повече за тези механизми и тяхната наличност, но все още не сме получили отговор. ®

Add Comment