Tesla Missers
Van Hans Fierloos mocht ik zijn bijdrage op LinkedIn hier ook delen:
Aan de paal (genageld) of voor paal staan, that's the question: Tesla's Wall Connector bevat nl meerdere kwetsbaarheden waardoor aanvallers code kunnen uitvoeren en zo de laadpaal overnemen, zo is recent tijdens de wedstrijd hashtag#Pwn2Own Automotive gedemonstreerd. Er zijn nog geen beveiligingsupdates voor de kwetsbaarheden beschikbaar. Pwn2Own is een wedstrijd waarbij onderzoekers worden beloond voor het demonstreren van onbekende beveiligingslekken in veelgebruikte producten en software.
Automotive-editie in Tokyo draait om allerlei aspecten van elektrisch rijden, waaronder infotainment systemen en laadpalen. Tijdens de tweede dag van het evenement lieten vier verschillende onderzoeksteams zien hoe ze de Tesla Wall Connector kunnen compromitteren. De wedstrijdvoorwaarden stellen dat services, communicatieprotocollen en fysieke interfaces van de laadpaal, die ook voor een gewone gebruiker toegankelijk zijn, voor de aanval mogen worden gebruikt.
Een succesvolle aanval op Tesla's laadpaal levert maximaal 70.000 dollar op. Onderzoekers van team 'PHP Hooligans' gebruikten een Numeric Range Comparison Without Minimum Check bug om de laadpaal over te nemen. Het team van Synacktiv wist door middel van een logicafout code op de laadpaal uit te voeren. Tevens waren er onderzoekers van 'Summoning Team' en 'PCAutomotive' met succesvolle aanvallen, maar de kwetsbaarheden die zij gebruikten waren al eerder gedemonstreerd, waardoor ze geen volledige beloning ontvingen.
Details over de kwetsbaarheden zijn niet openbaar gemaakt. Tesla wordt nu over de kwetsbaarheden ingelicht zodat het bedrijf updates kan ontwikkelen. Gisteren wisten onderzoekers laadpalen van Ubiquiti, Autel en ChargePoint en Phoenix te compromitteren. Deze week vindt Pwn2Own Automotive plaats en staan er wederom verschillende aanvallen op laadpalen in de planning.
Bron (voor wie ook op LinkedIn zit)