Polacy odkryli problem z bezpieczeństwem Tesli
Aplikacje mobilne rewolucjonizują również świat motoryzacji. Niestety, wiele rozwiązań mających poprawiać komfort użytkowania pojazdu niesie za sobą duże ryzyko. Zbytnie zaufanie do najnowszych technologii może mieć dla nas opłakane skutki.
Programiści z polskiej firmy Xsolve przyjrzeli się ostatnio poziomowi zabezpieczeń oferowanemu przez lidera samochodowej elektryfikacji - Teslę. Tomasz Konieczny - QA Engineer w Xslove - pokusił się o audyt bezpieczeństwa dostarczanej wraz z pojazdem aplikacji. Wyniki jego pracy raczej nie spodobają się właścicielom samochodów amerykańskiej marki.
Wyjaśnijmy - "firmowa" aplikacja Tesli pozwala na otwarcie pojazdu i sterowanie większością funkcji, jak np. uruchomieniem silnika. Posiada ona również funkcję geolokalizacji, dzięki której właściciel śledzić może, co w danej chwili dzieje się z jego pojazdem.
W rozmowie z Interią Kamil Mizera z Xsolve zdradził, że testy aplikacji trwały około miesiąca. Polscy programiści nie skupili się jednak na "łamaniu" kodu i szukaniu "dziur". Ich wątpliwości wzbudził sam, przyjęty przez Teslę, sposób autoryzacji. Przedstawiciele polskiej firmy nie mają wątpliwości, że aplikacja została źle zaprojektowana. W czym problem?
- W przypadku aplikacji Tesli problemem są słabe założenia, które mają wpływ na bezpieczeństwo, a dokładniej brak funkcjonalności uznawanych obecnie za istotne dla bezpieczeństwa. Nie jest to jednak sensu stricte błąd techniczny - wyjaśnia Mizera.
Rozwiązanie stosowane przez Teslę nie posiada wieloskładnikowej autentykacji. Oznacza to, że do aplikacji logujemy się pojedynczym hasłem i... na tym zabezpieczenia się kończą. Jeśli więc uda nam się zdobyć hasło, bez problemu dostaniemy się do samochodu. Wówczas, co nie wymaga żadnych dodatkowych czynności uwierzytelniających, możemy nie tylko sterować wszystkimi funkcjami pojazdu, ale również uruchomić silnik i odjechać...
Co więcej, aplikacja nie posiada również żadnego systemu informowania i weryfikowania nowych urządzeń połączonych z kontem. Oznacza to, że na koncie może być zalogowane wiele urządzeń (na przykład złodzieja), a właściciel samochodu nie będzie nawet o tym wiedział. Takie niedopatrzenie pozwala np. śledzić poczynania właściciela samochodu (usługa geolokalizacji), który nie będzie miał o tym fakcie zielonego pojęcia. Twórcy systemu nie zadali sobie też trudu stworzenia ostrzeżeń o tym, że dochodzi do niestandardowych zachowań.
W opinii ekspertów z Xsolve - ktokolwiek, kto zdobędzie hasło użytkownika (wykorzystując różne metody typu, np. phishing), uzyskuje pełny dostęp do Tesli i jej istotnych funkcji. Może nie tylko ukraść samochód (wejść do wnętrza i go uruchomić), ale też np. śledzić, co dana osoba robi, gdzie jeździ, gdzie i na jak długo się zatrzymuje, itd...
- Jak na samochód wart dziesiątki tysięcy dolarów i ogłaszany jako przyszłość motoryzacji, dostęp do niego jest niewystarczająco zabezpieczony - mówi Kamil Mizera. - Idziemy w stronę coraz to nowocześniejszych, zaawansowanych technologicznie samochodów, które zaczynają coraz bardziej przypominać komputery na kółkach. I o ile już niemal każdy ma świadomość, że komputer musi być dobrze zabezpieczony, o tyle aplikacja Tesli udowadnia, że w świecie motoryzacji ta świadomość dopiero kiełkuje - dodaje.
Paweł Rygas