Tesla Model X met geopende falcon wing deuren

Onderzoekers KU Leuven hacken Tesla Model X

Laatst bijgewerkt: 24 november 2020
Leestijd: 3 minuten, 8 seconden

Onderzoekers van de KU Leuven hebben twee technische kwetsbaarheden gevonden in de Tesla Model X. Hierdoor was het mogelijk om de beveiliging van de auto te omzeilen en er mee weg te rijden. De fabrikant heeft het probleem inmiddels verholpen met een software-update.

Dat schrijft de KU Leuven op haar website.

Tesla Model X heeft autosleutel met afstandsbediening

Aan de Tesla Model X, de grote broer van de Tesla Model S, hangt een prijskaartje van 89.000 euro. Voor dat geld krijg je een razendsnelle en glimmende bolide met falcon wing deuren en allerlei innovatieve toeters en bellen. Eén daarvan is dat de auto niet met een traditionele autosleutel werkt, maar een sleutel met afstandsbediening heeft. Deze ontgrendelt de wagen op het moment dat hij in de buurt van de autodeuren komt en de eigenaar op de knop van de afstandsbediening drukt.

De sleutel werkt met een techniek die Bluetooth Low Energy (BLE). Dit is de nieuwste Bluetooth-standaard die energiezuiniger is dan zijn voorgangers terwijl hij tegelijkertijd een groter bereik heeft. Zodra de auto deze signalen opvangt, opent hij (volledig elektrisch) de deuren. Voordat hij dit doet wordt het signaal gecontroleerd door een veiligheidsmechanisme dat de Electronic Control Unit of ECU heet.

Zo werd de Tesla Model X gehackt

De onderzoekers van Cosic, de onderzoeksgroep die verbonden is aan de KU Leuven en de technische kwetsbaarheden aan het licht brachten, slaagden erin om de ingebouwde beveiliging van Tesla te omzeilen. Door reverse engineering ontdekten de onderzoekers dat het updatemechanisme van de sleutel slecht beveiligd was. Ze konden hierdoor de sleutel draadloos hacken en de controle ervan overnemen.

Allereerst moesten de onderzoekers op korte afstand (maximaal vijf meter) een bericht versturen om de sleutel van het doelwit te activeren. Daarna stuurden ze hu software naar die sleutel om de controle ervan over te nemen. Dit gebeurde via een malafide update. Door de software die verbinding maakt met ECU te manipuleren, was het mogelijk om de Tesla Model X te doen geloven dat de onderzoekers over de juiste sleutel beschikten. Dit proces duurde slechts anderhalve minuut en kon op een veilige afstand tot dertig meter van de auto uitgevoerd worden. Door de sleutel te hacken konden de onderzoekers de autodeuren van de Tesla Model X openen.

Daar houdt het verhaal nog niet op. Toen de deuren eenmaal geopend waren, maakten de onderzoekers een koppeling met de diagnose-aansluiting van de auto. Hierdoor konden ze de aangepaste sleutel met de auto verbinden. Als deze verbinding eenmaal tot stand is gekomen, is het mogelijk om de wagen te starten en weg te rijden. “Door gebruik te maken van twee zwakke punten in de Tesla Model X-sleutel is het dus mogelijk om de auto stelen in een paar minuten”, zo vertellen de onderzoekers.

Niet de eerste keer dat het fout gaat bij Tesla

In de onderstaande video laten de onderzoekers zien hoe ze de hackaanval uitvoerden. Het is naar eigen zeggen niet duur om zo’n aanval uit te voeren. Daarvoor gebruikten ze goedkope hardware die je overal legaal kunt krijgen: een Raspberry Pi computer (30 euro) met een CAN-schild (25 euro), een aangepaste sleutel, een ECU van een Tesla Model X die afgedankt was (90 euro) en een LiPo-batterij (25 euro).

De onderzoekers hebben Tesla op 17 augustus op de hoogte gesteld van de technische zwakheden. Die heeft de problemen erkend en de onderzoekers een beloning van 5.500 dollar uit het Bug Bounty programma toegekend. Inmiddels heeft de autofabrikant een beveiligingsupdate uitgerold waardoor het niet langer mogelijk is om op deze manier een Tesla Model X te stelen.

Het is niet de eerste keer dat de medewerkers van Cisoc een beveiligingsprobleem bij Tesla aan de kaak stellen. Twee jaar geleden slaagden ze erin om de beveiliging van de Tesla Model S te omzeilen.

Privacy en security redacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. 

Meer artikelen uit het ‘Nieuws’ dossier

Reacties
Plaats een reactie
Een reactie plaatsen