Gå til innhold

Sekunder senere stikker Benjamin av med luksusbilen: – Det er alt for enkelt!


Anbefalte innlegg

Videoannonse
Annonse

Rådet om å holde telefonen oppdatert hjelper ikke. Poenget her er å KUN installere apper fra de offisielle app-butikkene til leverandørene. Altså: Dersom du har Android å kun installere apper fra Google Play. Dersom du har iPhone, installer kun apper fra App Store. Og gi ikke fra deg brukernavn og passord til phishing-sider heller.. Å holde mobilen oppdatert hjelper ikke i forhold til denne saken, da ingen svakheter blir utnyttet.

  • Liker 4
Lenke til kommentar

La oss si at Tesla bruker 2FA. F.eks. standard TOTP/HOTP-greiene som Google og mange andre bruker. Så da kan du få tilgang til å snakke med Tesla sine APIer fra en ny enhet ved å oppgi et engangspassord. Greit nok.

 

Problemet nå er at engangspassordet kommer fra samme enhet som er blitt kompromittert. Dermed er det, rent teoretisk, verdiløst. Men hvor enkelt er det for malware å fjernstyre OTP-appen til Google? Under IOS antar jeg det er skikkelig vanskelig, da Apple ikke gir tilfeldige App'er særlig mulighet til å gjøre ting og tang på telefonen. Er det lettere med Android? Er det praktisk gjennomførbart?

 

Jeg antar at OTP-pakken til Google utsteder et token. Er det ordentlig beskyttet?

 

Rent pragmatisk kunne Tesla her latt den andre faktoren være telefonen. Så bilen nekter å starte med mindre du har 1) nøkkel eller 2) en kjent telefon (bluetooth) med Tesla-appen kjørende og en "velsignelse" fra Tesla. Fortsatt ikke kjempesikkert - men en god del sikrere enn hva de har idag - uten å kompromittere brukervennligheten fullstendig. Å begynne å utstede fysiske tokens blir jo litt lamt - all den tid hele poenget med dette er at brukere som ikke har nøkkelen sin tilgjengelig skal kunne starte bilen. Og har du glemt nøkkelen så har du neppe med deg tokenet.

 

Sist men ikke minst kunne Tesla gitt aksess via SMS. Men hvis telefonen er kompromittert er det antageligvis en smal sak å lese SMSer.

  • Liker 3
Lenke til kommentar

Ser for meg at dette kan gi problemer med forsikringen. Forsikringsselskapet kan nekte å utbetale dersom bilen ble stjålet på dette viset. Hvis man er uaktsom og glemmer/mister nøkkelen tror jeg også forsikringen ikke vil gjelde, samme logikk vil nok gjelde for mobiltelefon som har tilgang til bilens operativsystem. Spesielt dersom det er brukerens ansvar å ha oppdatert sin mobiltelefon, men det er ikke altids mulig da ikke alle mobiltelefonprodusenter gir ut oppdatering med nyeste Android.

Lenke til kommentar

La oss si at Tesla bruker 2FA. F.eks. standard TOTP/HOTP-greiene som Google og mange andre bruker. Så da kan du få tilgang til å snakke med Tesla sine APIer fra en ny enhet ved å oppgi et engangspassord. Greit nok.

 

Problemet nå er at engangspassordet kommer fra samme enhet som er blitt kompromittert. Dermed er det, rent teoretisk, verdiløst. Men hvor enkelt er det for malware å fjernstyre OTP-appen til Google? Under IOS antar jeg det er skikkelig vanskelig, da Apple ikke gir tilfeldige App'er særlig mulighet til å gjøre ting og tang på telefonen. Er det lettere med Android? Er det praktisk gjennomførbart?

 

+100. Jeg skjønner ikke hvordan et sikkerhetsselskap kan konkludere med at det vil være mer sikkert med MFA når brukeren aktivt forsøker å logge seg inn. Eneste grunnen må være at brukeren må logge inn med MFA hver bidige gang man åpner appen, men da blir sikkerheten et irritasjonsmoment som folk slutter å bruke.

  • Liker 1
Lenke til kommentar

Eneste grunnen må være at brukeren må logge inn med MFA hver bidige gang man åpner appen, men da blir sikkerheten et irritasjonsmoment som folk slutter å bruke.

Wat? Det er da ingenting i veien for å forbli innlogget uansett om man har 2FA eller ei. 2FA gjelder kun nye innlogginger og ville effektivt satt en stopper for dette innbruddet, forutsatt at 2FA-systemet ikke også var kompromittert (som har en HELT annen kompleksitet).
Lenke til kommentar

Ser for meg at dette kan gi problemer med forsikringen. Forsikringsselskapet kan nekte å utbetale dersom bilen ble stjålet på dette viset. Hvis man er uaktsom og glemmer/mister nøkkelen tror jeg også forsikringen ikke vil gjelde, samme logikk vil nok gjelde for mobiltelefon som har tilgang til bilens operativsystem. Spesielt dersom det er brukerens ansvar å ha oppdatert sin mobiltelefon, men det er ikke altids mulig da ikke alle mobiltelefonprodusenter gir ut oppdatering med nyeste Android.

 

Så om noen bryter seg inn i huset ditt så skal du få avslag i forsikring fordi dørlåsen er av 2015 modell?

Om Tesla tillater deg å installere appen sin på eldre androidversjoner så må de nesten ta ansvar selv.

Det er ikke vanskelig for Tesla å bestemme hvilken androidversjon man må ha for å bruke appen.

  • Liker 1
Lenke til kommentar

Her synes jeg Tesla bør fokusere på å lage fantastiske biler, så kan andre ta seg av å gi råd om datasikkerhet. Bytte passord ofte er en dårlig idé. Som andre nevner her, kun installer apper fra de offisielle kildene, og hold OS og apper oppdatert. Forøvrig kunne jo Tesla gjort mer for å beskytte påloggingsinformasjon fra å bli avlest/stjålet fra appen deres.

Lenke til kommentar

Her synes jeg Tesla bør fokusere på å lage fantastiske biler, så kan andre ta seg av å gi råd om datasikkerhet. Bytte passord ofte er en dårlig idé. Som andre nevner her, kun installer apper fra de offisielle kildene, og hold OS og apper oppdatert. Forøvrig kunne jo Tesla gjort mer for å beskytte påloggingsinformasjon fra å bli avlest/stjålet fra appen deres.

 

Tesla er et programvareselskap. Det er hvordan de tenker om seg selv. Bilene lager de mye fordi de må ha en plattform å kjøre programvaren på.

 

Så det er helt legitimt å kreve at de har ordentlig sikkerhet.

Lenke til kommentar

 

Eneste grunnen må være at brukeren må logge inn med MFA hver bidige gang man åpner appen, men da blir sikkerheten et irritasjonsmoment som folk slutter å bruke.

Wat? Det er da ingenting i veien for å forbli innlogget uansett om man har 2FA eller ei. 2FA gjelder kun nye innlogginger og ville effektivt satt en stopper for dette innbruddet, forutsatt at 2FA-systemet ikke også var kompromittert (som har en HELT annen kompleksitet).

 

 

Du fikk kanskje ikke med deg at hele denne såkalte "hacken" som tek-mediene skriver om innebærer social engineering for å lure en bruker til å logge seg inn på en falsk app. Ikke en innlogging i verden vil stoppe en person som selv forsøker å logge seg inn. "Hackeren" sitter jo og venter på å få servert brukernavn og passord via den falske appen, så når vedkommende får den informasjonen kan h*n logge inn på den ordentlige Teslaappen som ber om tofaktorautentisering. Denne tofaktorautentiseringen forventer brukeren med den falske appen og godkjenner innloggingen uten å tenke seg om.

 

Det er ikke før brukeren skjønner at h*n ikke ble innlogget i noen Teslaapp at det (forhåpentligvis) begynner å lyse noen røde lamper i pæra.

  • Liker 1
Lenke til kommentar

 

 

Hos Tesla Norge mener de imidlertid at dette ikke er et Tesla-problem, siden feilen ikke rammer selskapets biler alene. Demonstrasjonen viser noe de fleste skjønner på egenhånd: Dersom en telefon blir hacket, er det ikke sikkert at appene er trygge, konstaterer selskapet.

 

Wow, fin kommentar. Skal Tesla hjelpe Google med å få utviklet på Android da, slik at de blir kvitt "sykdommen"?

Lenke til kommentar

Det hadde vært interessant å høre _hvilken_ telefon det er snakk om, og _hvilken_ versjon av Android det er snakk om, men det unnlater Promon å nevne. Kan det tenkes at dette er en Galaxy S2 (utgitt i 2012), som kjører Android <= 4.0.3, og at de benytter seg av tapjacking av Tesla-appen? Det finnes forsvinnende få telefoner med så gammel Android-versjon i Norge.

  • Liker 1
Lenke til kommentar

Rådet om å holde telefonen oppdatert hjelper ikke. Poenget her er å KUN installere apper fra de offisielle app-butikkene til leverandørene. Altså: Dersom du har Android å kun installere apper fra Google Play. Dersom du har iPhone, installer kun apper fra App Store. Og gi ikke fra deg brukernavn og passord til phishing-sider heller.. Å holde mobilen oppdatert hjelper ikke i forhold til denne saken, da ingen svakheter blir utnyttet.

 

På promon sin side sier de at du faktisk kommer til en google play store side..

 

"When the Tesla owner connects to the Wi-Fi hotspot and visits a web page, he is redirected to a captive portal that displays an advertisement targeting Tesla owners. In this example, an app was advertised that offers the Tesla owner a free meal at the nearby restaurant. When the Tesla owner then clicks on the advertisement, he is redirected to the Google Play store where the malicious app is displayed."

 

https://promon.co/blog/tesla-cars-can-be-stolen-by-hacking-the-app/

Lenke til kommentar

Rådet om å holde telefonen oppdatert hjelper ikke. Poenget her er å KUN installere apper fra de offisielle app-butikkene til leverandørene. Altså: Dersom du har Android å kun installere apper fra Google Play. Dersom du har iPhone, installer kun apper fra App Store. Og gi ikke fra deg brukernavn og passord til phishing-sider heller.. Å holde mobilen oppdatert hjelper ikke i forhold til denne saken, da ingen svakheter blir utnyttet.

 

Hei! :) Vi har postet en oppdatert bloggpost på vår nettside som oppklarer en del uklarheter rundt denne saken. Les mer her: http://bit.ly/2gtJoOU Mvh Promon

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
  • Hvem er aktive   0 medlemmer

    • Ingen innloggede medlemmer aktive
×
×
  • Opprett ny...