Ce hacker a dévoilé une nouvelle façon de voler une Tesla Model Y

Basé sur une récente Tesla pirater, il est peut-être temps de mettre à niveau votre sac à main, votre portefeuille et la protection de vos clés.

En août, Josep Pi Rodriguez, « hacker éthique » et consultant principal en sécurité chez IOActive, a publié un livre blanc sur la façon de pirater un modèle Ycomme indiqué dans Le bord.

L’article montrait comment deux personnes pouvaient utiliser deux appareils, y compris un Proxmark RDV4 (que vous pouvez obtenir en ligne pour 340 $, mais il existe des versions nettement moins chères sur des sites comme Amazon que vous pouvez utiliser, a déclaré Rodriguez) pour pénétrer dans un modèle Y Tesla.

Rodriguez, qui est basé à Madrid, a déclaré Chef d’entreprise que ce hack de voiture est innovant par rapport aux hacks passés, car l’utilisation d’un Proxmark – quelque chose que n’importe qui peut acheter en ligne et utiliser tant qu’il a les compétences en codage pour écrire son propre firmware – est nouveau, a-t-il estimé.

« Il s’agit de la première attaque de relais NFC fonctionnelle contre un Tesla Model Y », a-t-il déclaré.

« Cet appareil n’a jamais été utilisé, du moins en public, pour ce genre d’attaque », a ajouté Rodriguez.

Mais le piratage n’a pas seulement des implications pour les propriétaires de Tesla.

Il révèle de nouvelles vulnérabilités – et met en évidence les anciennes – pour une foule d’autres clés de voiture, cartes ou porte-clés et cartes tap-to-pay qui utilisent NFC ou la communication en champ proche, déclare Sanjay Deo, président de le Levan Center of Innovation Cybersecurity Advisory Council et président de 24by7 Security.

« Je pense que tout le monde devrait comprendre ce document et comprendre les risques », a déclaré Deo Chef d’entreprise.

Comment s’est produit le piratage du modèle Y Tesla

Le livre blanc de recherche de Rodriguez décrit comment deux personnes pourraient pirater un modèle Y Tesla.

Pour le fond, un porte-clés Tesla, une clé de carte ou une application téléphonique (comme de nombreux autres déverrouilleurs de voiture numériques) a une conversation avec la voiture pour confirmer que la clé placée à proximité est celle qui est censée déverrouiller la voiture.

Rodriguez a montré comment les pirates pouvaient intercepter cette conversation voiture-clé.

Premièrement, une personne prendrait l’appareil Proxmark, qui est essentiellement un émetteur et un identifiant radio, et se rapprocherait de la Tesla de quelqu’un.

Ensuite, une autre personne s’approche de la carte-clé ou de l’application téléphonique du propriétaire avec n’importe quel appareil compatible NFC (même juste un smartphone). Comme le souligne The Verge, cela peut arriver lorsque vous vous déplacez à l’extérieur ou que vous faites la queue pour prendre un café ou à une table pour manger.

Les deux appareils, à l’aide du WiFi ou du Bluetooth, peuvent alors relayer la conversation que la clé Tesla aurait normalement avec la voiture, à la voiture, pour faire ouvrir la porte.

Dans l’article, Rodriguez l’a démontré à une courte distance, mais il a émis l’hypothèse que cela pourrait être fait sur une longue distance.

Vous pourriez voyager et quelqu’un pourrait s’approcher de vous avec l’appareil et déverrouiller votre voiture à l’aéroport de Miami, par exemple, a déclaré Deo.

« [You] Je ne saurais même pas que la voiture n’est pas là », a-t-il déclaré. « C’est un hack assez sophistiqué. »

C’est en partie pourquoi cette attaque est préoccupante, même si les hacks NFC étaient auparavant une préoccupation dans l’industrie automobile, note le journal.

« Cela devient une attaque NFC unique, et c’est pourquoi elle attire autant l’attention », a déclaré Deo. « Si vous pouviez le faire sur Tesla, vous pourriez le faire sur d’autres voitures qui ont ce protocole NFC. »

En ce qui concerne la conduite de la voiture, Rodriguez a déclaré à The Verge que les pirates devraient suivre le processus une deuxième fois pour créer une autre clé pour redémarrer la voiture (ou simplement vendre les pièces de la voiture).

Comment se protéger

Faire scanner vos cartes en public a longtemps été un risque, a déclaré Deo (bien que ce ne soit pas aussi coûteux-efficace ou facile comme simplement les voler en ligne). Rodriguez avait des recommandations sur la façon dont Tesla pourrait résoudre le problème. Pour le consommateur général, cela pourrait se résumer à une chose majeure : le matériau de blocage RFID, a conseillé Deo.

Cette doublure empêcherait les scanners de différents types de scanner votre clé Tesla ou vos cartes de crédit ordinaires. Les consommateurs pourraient également empêcher la voiture d’être chassée, au moins, en activant le code PIN pour conduire sur leur Teslas, a déclaré Rodriguez. (Bien que de nombreuses voitures n’aient pas cette option, a-t-il déclaré à The Verge).

Vous pouvez également obtenir des étuis de téléphone bloquant la RFID, a-t-il ajouté.

Tesla n’a pas immédiatement répondu à Entrepreneur demande de commentaire.

Rodriguez a révélé la vulnérabilité à l’entreprise et a déclaré que Tesla avait déclaré que la fonction PIN le résoudrait. Il a déclaré à The Verge qu’il pensait que Tesla avait « minimisé » le risque, a écrit le média.

« Cette fonctionnalité est facultative, et les propriétaires de Tesla qui ne sont pas conscients de ces problèmes ne l’utilisent peut-être pas », a écrit Rodriguez dans l’article.