Op een maandag heeft David Colombo een blogpost gepubliceerd waarin hij uitlegt hoe hij in staat was om via beveiligingsfouten in TeslaMate, een populaire open source logging tool die alles van energieverbruik tot locatiegeschiedenis bijhoudt, op afstand in de auto’s te hacken. De 19-jarige beveiligingsonderzoeker uit Dinkelsbühl, Duitsland, onthulde eerder deze maand al op Twitter het bestaan van de kwetsbaarheid, maar wachtte om de problemen volledig te beschrijven totdat ze waren opgelost.
Colombo zei dat de kwetsbaarheid hem in staat stelde om op afstand verschillende Tesla-functies te benaderen, waaronder het ontgrendelen van deuren en ramen, het starten van keyless driving en het aanzetten van de stereo of het geven van een toetergeluid. De tiener zei ook dat hij de locatie van de auto en de aanwezigheid van de bestuurder kon bekijken. Hij zei echter dat hij niet gelooft dat het mogelijk is om het voertuig op afstand te verplaatsen. “Er zou geen enkele manier mogen zijn waarop iemand zich bij sommige Teslas kan voegen die ze niet eigenaren en er mee kan rijden”, aldus Colombo in zijn blogpost op Medium. “Ik denk ook dat het potentieel gevaarlijke situaties op de weg kan veroorzaken. Bijvoorbeeld als iemand met afstandsbediening begint te blasten op maximaal volume terwijl de bestuurder op de snelweg is of als de lichten van de Teslas ’s nachts willekeurig en oncontroleerbaar worden geflasht.”
Beveiligingslek in TeslaMate stelt hackers in staat om op afstand toegang te krijgen tot Teslas
Colombo legde uit dat het beveiligingsprobleem draaide om hoe TeslaMate gevoelige informatie opsloeg die nodig is om het programma te koppelen aan de auto. De cybersecurity-onderzoeker legde uit dat de informatie, waaronder de API-sleutel van de auto, hergebruikt kon worden om op afstand commando’s naar de blootgestelde Teslas te sturen en hackers toegang te geven tot de auto’s zonder dat de bestuurder hiervan op de hoogte was.
Colombo zei dat hij in oktober voor het eerst op de hoogte was van de kwetsbaarheid in een Tesla en in staat was om contact op te nemen met de eigenaar. In januari vond hij meer dan 20 kwetsbare Teslas, maar had moeite om contact te leggen met de eigenaren.
In zijn pogingen om Tesla-eigenaren op de hoogte te stellen van het probleem, ontdekte Colombo ook een gebrek in de software van de autofabrikant voor de digitale autosleutel waardoor hij het e-mailadres van een Tesla-eigenaar kon achterhalen.
Beveiligingslek in TeslaMate snel opgelost
Na het privé melden van de problemen aan TeslaMate en het beveiligingsteam van Tesla, heeft de derde partij tool een softwarefix uitgebracht en heeft het beveiligingsteam van Tesla alle betrokken toegangstokens ingetrokken en de eigenaren op de hoogte gesteld. TeslaMate en een woordvoerder van Tesla reageerden niet op een verzoek om commentaar van Insider, maar TeslaMate vertelde TechCrunch dat het bedrijf binnen enkele uren na ontvangst van Colombo’s e-mail een update heeft uitgebracht.
De Duitse beveiligingsonderzoeker is niet de eerste die een Tesla hackt. Vorig jaar lieten twee onderzoekers zien hoe een drone via WiFi een aanval kon lanceren en de deuren van een Tesla kon openen. In 2020 slaagde een andere onderzoeker erin om binnen 90 seconden toegang te krijgen tot het sleutelloze toegangssysteem van een Tesla door het signaal te spoofen.