Buzz
Năm ngoái, Tesla phát hành một bản cập nhật làm cho việc khởi động xe của họ dễ dàng hơn sau khi đã được mở khóa bằng thẻ key NFC. Bây giờ, một nhà nghiên cứu đã chỉ ra cách tính năng này có thể bị lợi dụng để đánh cắp xe.
Trong nhiều năm, những người lái xe sử dụng thẻ key NFC của Tesla để mở khóa xe của họ đã phải đặt thẻ lên console trung tâm để bắt đầu lái xe. Sau bản cập nhật được báo cáo vào tháng 8 năm ngoái, các tài xế có thể vận hành xe ngay sau khi mở khóa chúng bằng thẻ. Thẻ NFC là một trong ba phương tiện để mở khóa Tesla; key fob và ứng dụng điện thoại là hai phương tiện khác.
Đăng Ký Chìa Khóa Cá Nhân Của Bạn
Martin Herfurt, một nhà nghiên cứu an ninh ở Áo, nhanh chóng nhận thấy điều gì đó lạ về tính năng mới: Không chỉ cho phép xe tự động khởi động trong vòng 130 giây sau khi được mở khóa bằng thẻ NFC, mà nó cũng đặt xe vào trạng thái chấp nhận chìa khóa hoàn toàn mới—mà không cần xác thực và không có hiển thị nào được thể hiện bởi màn hình trên xe.
"Quyền ủy quyền được cấp trong khoảng thời gian 130 giây là quá chung chung... nó không chỉ để lái xe," Herfurt nói trong một cuộc phỏng vấn trực tuyến. "Đồng hồ báo thức này đã được Tesla giới thiệu... để làm cho việc sử dụng thẻ NFC như một phương tiện chính để sử dụng xe thuận tiện hơn. Điều cần xảy ra là xe có thể được khởi động và lái mà không cần người dùng phải sử dụng thẻ một lần nữa. Vấn đề là: Trong khoảng thời gian 130 giây, không chỉ lái xe được ủy quyền, mà còn có thể đăng ký một chìa khóa mới."
Ứng dụng điện thoại chính thức của Tesla không cho phép đăng ký chìa khóa trừ khi nó được kết nối với tài khoản của chủ sở hữu, nhưng mặc dù vậy, Herfurt phát hiện rằng xe sẵn lòng trao đổi tin nhắn với bất kỳ thiết bị Bluetooth Low Energy, hoặc BLE, nào gần đó. Vì vậy, nhà nghiên cứu đã xây dựng ứng dụng riêng của mình, có tên là Teslakee, nói chuyện bằng VCSec, ngôn ngữ giống như ứng dụng Tesla chính sử dụng để giao tiếp với các chiếc xe Tesla.
Phiên bản độc hại của Teslakee mà Herfurt thiết kế cho mục đích chứng minh hiện đang cho thấy việc kẻ trộm có thể dễ dàng đăng ký chìa khóa cá nhân của họ một cách âm thầm trong khoảng thời gian 130 giây. (Nhà nghiên cứu dự định phát hành phiên bản vô hại của Teslakee cuối cùng sẽ làm cho các cuộc tấn công như vậy khó thực hiện hơn.) Kẻ tấn công sau đó sử dụng ứng dụng Teslakee để trao đổi các tin nhắn VCSec để đăng ký chìa khóa mới.
Tất cả những gì cần là ở trong tầm của chiếc xe trong khoảng thời gian quyết định 130 giây khi nó được mở khóa bằng thẻ NFC. Nếu chủ sở hữu xe thông thường sử dụng ứng dụng điện thoại để mở khóa xe—phương pháp mở khóa phổ biến nhất cho các chiếc Tesla—kẻ tấn công có thể ép buộc việc sử dụng thẻ NFC bằng cách sử dụng máy chặn tín hiệu để chặn tần số BLE được sử dụng bởi ứng dụng điện thoại của Tesla làm chìa khóa.
Video này minh họa cuộc tấn công đang diễn ra:
Khi người lái xe bước vào xe sau khi mở khóa bằng thẻ NFC, kẻ trộm bắt đầu trao đổi tin nhắn giữa Teslakee có vũ khí và chiếc xe. Trước khi người lái xe thậm chí đã lái xe đi, các tin nhắn đăng ký một chìa khóa theo sở thích của tên trộm với chiếc xe. Từ đó, kẻ trộm có thể sử dụng chìa khóa để mở khóa, khởi động và tắt máy xe. Không có hiển thị nào từ màn hình trong xe hoặc ứng dụng Tesla chính xác là có vấn đề gì.
Herfurt đã thành công trong việc sử dụng cuộc tấn công trên các mô hình Tesla 3 và Y. Anh ấy chưa kiểm thử phương pháp trên các mô hình nâng cấp mới 2021+ của S và X, nhưng anh ấy giả định chúng cũng có lỗ hổng vì chúng sử dụng cùng một hỗ trợ nội bộ cho việc sử dụng điện thoại làm chìa khóa với BLE.
Tesla không phản hồi trả lời email tìm ý kiến cho bài đăng này.
Parlez-Vous VCSec?
Lỗ hổng này là kết quả của vai trò kép của thẻ NFC. Nó không chỉ mở khóa xe và khởi động nó; nó cũng được sử dụng để ủy quyền quản lý chìa khóa.
Herfurt nói:
Cuộc tấn công khai thác cách Tesla xử lý quá trình mở khóa qua thẻ NFC. Điều này hoạt động vì phương thức ủy quyền của Tesla đã bị lỗi. Không có kết nối giữa thế giới tài khoản trực tuyến và thế giới BLE ngoại tuyến. Bất kỳ kẻ tấn công nào có thể nhìn thấy quảng cáo Bluetooth LE của một phương tiện có thể gửi các tin nhắn VCSEC đến nó. Điều này sẽ không hoạt động với ứng dụng chính thức, nhưng một ứng dụng cũng có khả năng nói chuyện theo giao thức BLE cụ thể của Tesla... cho phép kẻ tấn công đăng ký chìa khóa cho các phương tiện tùy ý. Teslakee sẽ giao tiếp với bất kỳ phương tiện nào nếu được chỉ định.
Herfurt đã tạo Teslakee là một phần của Dự án Tempa, nhằm cung cấp công cụ và thông tin về giao thức VCSEC được sử dụng bởi phụ kiện Tesla và ứng dụng Tesla để kiểm soát xe qua Bluetooth LE. Herfurt là một thành viên của Nhóm Trifinite, một tổ chức nghiên cứu và hacker tập hợp chú trọng vào BLE.
Cuộc tấn công đủ dễ dàng ở khía cạnh kỹ thuật để thực hiện, nhưng cơ cấu kiến thức về theo dõi một phương tiện không được giám sát, đợi hoặc ép buộc chủ sở hữu mở khóa nó bằng thẻ NFC, và sau đó bắt kịp với chiếc xe và đánh cắp nó có thể là phiền toái. Phương pháp này có vẻ không thực tế trong nhiều kịch bản trộm, nhưng đối với một số trường hợp, nó có vẻ khả thi.
Với Tesla giữ im lặng về yếu điểm này, người chủ xe chỉ có thể làm được có giới hạn. Một biện pháp phòng ngừa là thiết lập Pin2Drive để ngăn kẻ trộm sử dụng phương pháp này khỏi khởi động xe, nhưng nó sẽ không làm gì để ngăn chặn kẻ trộm khỏi việc nhập xe khi nó đã bị khóa. Một biện pháp bảo vệ khác là kiểm tra đều đặn danh sách chìa khóa được ủy quyền để mở khóa và khởi động xe thông qua quy trình mà Tesla gọi là "whitelisting." Chủ sở hữu Tesla có thể muốn thực hiện kiểm tra này sau khi giao thẻ NFC cho một thợ cơ khí không đáng tin cậy hoặc người quản lý bãi đậu xe đậu xe.
Dựa trên sự thiếu phản hồi mà Herfurt nói anh ấy nhận được từ Tesla về các lỗ hổng mà anh ấy phát hiện ra vào năm 2019 và lại năm ngoái, anh ấy không trông đợi rằng công ty sẽ giải quyết vấn đề.
"Ấn tượng của tôi là họ luôn đã biết và sẽ không thực sự thay đổi gì," anh ấy nói. "Lần này, không cách nào mà Tesla không biết về việc triển khai kém chất lượng đó. Vì vậy đối với tôi, không có ý nghĩa gì trong việc nói chuyện với Tesla trước."
Câu chuyện này ban đầu xuất hiện trên Ars Technica.
