Sekunder senere stikker Benjamin av med luksusbilen: – Det er alt for enkelt!

[Lars Birkeland]

Det hadde vært interessant å høre _hvilken_ telefon det er snakk om, og _hvilken_ versjon av Android det er snakk om, men det unnlater Promon å nevne. Kan det tenkes at dette er en Galaxy S2 (utgitt i 2012), som kjører Android

 

Hei! Vi har postet en oppdatert bloggpost på vår nettside som oppklarer en del uklarheter rundt denne saken. Les mer her: http://bit.ly/2gtJoOU Mvh Promon

[Lars Birkeland]

Her synes jeg Tesla bør fokusere på å lage fantastiske biler, så kan andre ta seg av å gi råd om datasikkerhet. Bytte passord ofte er en dårlig idé. Som andre nevner her, kun installer apper fra de offisielle kildene, og hold OS og apper oppdatert. Forøvrig kunne jo Tesla gjort mer for å beskytte påloggingsinformasjon fra å bli avlest/stjålet fra appen deres.

 

Hei! Vi har postet en oppdatert bloggpost på vår nettside som oppklarer en del uklarheter rundt denne saken. Les mer her: http://bit.ly/2gtJoOU Mvh Promon

[Lars Birkeland]

Det hadde vært interessant å høre _hvilken_ telefon det er snakk om, og _hvilken_ versjon av Android det er snakk om, men det unnlater Promon å nevne. Kan det tenkes at dette er en Galaxy S2 (utgitt i 2012), som kjører Android

 

Hei! Vi har postet en oppdatert bloggpost på vår nettside som oppklarer en del uklarheter rundt denne saken. Les mer her: http://bit.ly/2gtJoOU Mvh Promon

[Jan Vidar Krey]

 

La oss si at Tesla bruker 2FA. F.eks. standard TOTP/HOTP-greiene som Google og mange andre bruker. Så da kan du få tilgang til å snakke med Tesla sine APIer fra en ny enhet ved å oppgi et engangspassord. Greit nok.

 

Problemet nå er at engangspassordet kommer fra samme enhet som er blitt kompromittert. Dermed er det, rent teoretisk, verdiløst. Men hvor enkelt er det for malware å fjernstyre OTP-appen til Google? Under IOS antar jeg det er skikkelig vanskelig, da Apple ikke gir tilfeldige App'er særlig mulighet til å gjøre ting og tang på telefonen. Er det lettere med Android? Er det praktisk gjennomførbart?

 

+100. Jeg skjønner ikke hvordan et sikkerhetsselskap kan konkludere med at det vil være mer sikkert med MFA når brukeren aktivt forsøker å logge seg inn. Eneste grunnen må være at brukeren må logge inn med MFA hver bidige gang man åpner appen, men da blir sikkerheten et irritasjonsmoment som folk slutter å bruke.

Disclaimer: Jeg jobber for Promon, og vi kommer ikke med denne konklusjonen.

Se forøvrig vår blogg post.

 

https://promon.co/blog/

[OlaML]

Hvor var alle disse "Mikke Mus P.I"-typene når en bil kunne stjeles på ti sekunder med et skrujern?

[Fungus]

Har lest https://promon.co/blog/updates-precisions-tesla-hack/ og har full forståelse for at de fakta-kriterier som kommer fram på den siden ikke blir presentert på E24, VG eller seher.no

Men på ett IT fora slik som digi.no burde disse tekniske kriteriene absolutt være endel av saken, istedet for å bli diskusjonstema i kommentarfeltet.

 

Er selv Tesla eier, og ja sikkerheten burde være bedre på app'en. Ikke sikker på hvordan det kan løses på en god måte uten å miste brukervennlighet om sikkerhetspoenget skal være 2-faktor. Hele poenget med "start-funksjonen" i app'en er at det skal være mulig å starte bilen uten at man har nøkkelen. Samt at det skal være mulig for bilen og starte selv (i framtiden) og via Summon (idag).

Skal man være avhengig av 2-faktor, f.eks bank-id eller rsa/vasco brikke eller lignende så er man avhengig av den brikken.

Ja, man kan få 2-faktor som en app på mobilen, men om mobilen er hacket så er jo antagelig den app'en også kompromittert og da er man like langt.

 

At bilen kun skal kunne startes med nøkkel, vil jo i praksis gjøre summon ubrukelig. Og en nøkkel er vel ikke så veldig vanskelig å kopiere i dag om man absolutt vil stjele en bil.

 

Så det egentlige spørsmålet til Promon sin test og denne artikkelen er: "Finnes det en app som er trygg på den telefonen som dere hacket?"

[Ano__Nym]

Her var det mye vissom atte dersom atte hacking....

 

Det er litt som om hvis du blir lurt av en kar på bensinstasjon til at han får holde nøkkelen din litt så han kan kopiere den..

 

Nå har alle Tesla eiere eget gratis wifi nett i bilen så de trenger ikke sitte å søke etter andre gratis wifi. Gjetter også på at de fleste heller velger å benytte vanlig 4G datatrafikk de gangene det skulle være behov for noe annet. Spesielt med tanke på at eierne av disse bilene har over gjennomsnittlig inntekt.