Yeni Anahtarsız Teknolojiye Rağmen Teslalar Ucuz Bir Radyo Hack’iyle Hala Çalınabilir


Tesla, 2020 yılında ABD Federal İletişim Komisyonu’na sunduğu bir başvuruda, anahtarsız giriş sistemlerinde ultra geniş bant uygulayacağını ve bir anahtarlığın veya akıllı telefonun bir arabaya olan mesafesini çok daha hassas bir şekilde ölçme yeteneğinin, -ya da en azından abilir—araçlarının aktarma saldırıları yoluyla çalınmasını önleyin. Tesla’nın dosyasında “Mesafe tahmini, aktarma saldırılarına karşı bağışık olan Uçuş Süresi ölçümüne dayanıyor” denildi. İlk olarak Verge tarafından ortaya çıkarılan bu belge, Tesla’nın anahtarsız giriş sisteminin ultra geniş bant versiyonunun araçlarına yönelik röle saldırılarının sonunu getireceğini öne süren yaygın raporlara ve sosyal medya yorumlarına yol açtı.

Ancak GoGoByte araştırmacıları, Bluetooth üzerinden en yeni Tesla Model 3’e karşı aktarma saldırısını, tıpkı daha önceki modellerde olduğu gibi, cihazları ile sahibinin anahtarı veya telefonu arasında 5 metreye kadar bir mesafeden gerçekleştirebildiklerini buldu. Arabalar ultra geniş bant iletişim kullanıyor gibi görünse de, anahtarsız giriş hırsızlığını önlemek amacıyla mesafe kontrolü için bunları kullanmıyor gibi görünüyor.

Tesla, WIRED’in yorum taleplerine henüz yanıt vermedi.

GoGoByte araştırmacıları bu ayın başlarında bulgularını Tesla ile paylaştığında şirketin ürün güvenliği ekibi, ultra geniş bant veya “UWB”nin hırsızlığı önlemeyi amaçladığına dair her türlü söylentiyi ortadan kaldıran bir e-postayla anında yanıt verdi. GoGoByte’ın aktarma saldırısına ilişkin açıklamasına yanıt olarak Tesla’nın e-postasını “Şu anda UWB’nin güvenilirliğini artırmaya çalıştığımız için bu davranış bekleniyor” dedi. “Güvenilirlik iyileştirmeleri tamamlandığında UWB aralığı zorunlu hale getirilecek.”

Daha önce Tesla araçlarına yönelik röle saldırıları sergileyen güvenlik firması IOActive araştırmacısı Josep Rodriguez, bu cevabın mutlaka sürpriz olmaması gerektiğini söylüyor. Tesla hiçbir zaman açıkça güvenlik için ultra geniş bant özelliğini kullanmaya başladığını söylemedi; bunun yerine şirket, birisinin telefonunun bagajın yanında olduğunu tespit ederek onu eller serbest olarak açmak gibi ultra geniş bant özelliklerini öne sürdü. bir güvenlik kontrolü hala çok fazla yanlış pozitif sonuç üretebilir.

Rodriguez, WIRED’e gönderdiği bir e-postada şunları yazdı: “Anladığım kadarıyla, geçiş saldırılarının önlenebileceği ancak aynı zamanda kullanıcı deneyimini de etkilemeyeceği uygun bir nokta bulmak mühendislik ekiplerinin zamanını alabilir.” “UWB’nin araçlara ilk uygulanmasının aktarma saldırılarını çözeceğini beklemiyordum.”

GoGoByte araştırmacıları, otomobil üreticilerinin ultra geniş bant güvenlik özelliklerini yavaş yavaş benimsemesinin yalnızca Tesla ile sınırlı olmadığını belirtiyor. Anahtarları ultra geniş bant iletişimi destekleyen diğer iki otomobil üreticisinin de aktarma saldırılarına karşı hala savunmasız olduğunu buldular. Bir vakada şirket, onu destekleyen donanıma yükseltme yapmasına rağmen, ultra geniş bant iletişimini araçlarının kilitleme sistemlerine uygulayacak herhangi bir yazılım bile yazmamıştı. (Araştırmacılar diğer otomobil üreticilerinin isimlerini henüz açıklamıyorlar çünkü hala onlarla güvenlik açığını açıklama süreci üzerinde çalışıyorlar.)

Tesla’nın yüksek fiyat etiketine ve aktarma saldırılarına karşı devam eden savunmasızlığına rağmen, bazı çalışmalar arabaların varsayılan GPS takipleri nedeniyle çalınma olasılığının diğer arabalara göre çok daha az olduğunu buldu; ancak bazı araba hırsızlığı çeteleri yine de aktarma saldırıları kullanarak onları hedef aldı. Araçları parça karşılığında satmak.

GoGoByte, Tesla’nın diğer birçok otomobil üreticisinden farklı olarak araçlarına kablosuz güncellemeler gönderme yeteneğine sahip olduğunu ve bu özelliği ultra geniş bant iletişim yoluyla bir aktarma saldırısı düzeltmesi uygulamak için kullanmaya devam edebileceğini belirtiyor. Ancak o zamana kadar GoGoByte araştırmacıları Tesla sahiplerinin bağışıklıktan çok uzak olduklarını anlamalarını istediklerini söylüyor. Li, “Tesla’nın bunu çözebileceğini düşünüyorum çünkü donanıma sahipler” diyor. “Fakat güvenli sürümü yayınlamadan önce halkın bu konu hakkında bilgilendirilmesi gerektiğini düşünüyorum.”

Başka bir deyişle, o zamana kadar Tesla’nızın PIN-sürücü korumasını yerinde tutun. Anahtarlarınızı ve akıllı telefonunuzu dondurucuda tutmaktan veya uyanıp boş bir araba yolu bulmaktan ve arabanızın parça karşılığında satılmasından daha iyidir.



Source link