ENGINEERINGNET.BE - Er zijn ernstige zwakheden ontdekt in het Passive Keyless Entry and Start-systeem (PKES) dat gebruikt wordt in een aantal auto’s uit het luxesegment.
Door dit systeem hoeft de bestuurder niet langer op een knopje duwen om de auto te openen. Het volstaat dat de sleutel zich dichtbij de auto bevindt om deze te kunnen openen en op te starten.
Onderzoekers van COSIC, een imec-onderzoeksgroep aan de KU Leuven, hebben nu aangetoond dat de autosleutel van de Tesla Model S verouderde en onveilige cryptografie gebruikt. Via geavanceerde zoekmethoden slaagden ze erin om de cryptografische sleutel te achterhalen en er een volledige kopie van te maken.
Om deze code te bemachtigen, moesten ze maar enkele seconden in de buurt van de autosleutel zijn. Daarna konden ze de wagen ontgrendelen en opstarten zo vaak ze maar wilden. De onderzoekers voerden deze aanval uit op twee verschillende exemplaren van hetzelfde model, Tesla Model S.
In het kader van 'responsible disclosure' is Tesla als eerste op de hoogte gebracht van deze kwetsbaarheden, op 31 augustus 2017. De autofabrikant heeft de bevindingen geverifieerd en heeft de onderzoekers een beloning van 10.000 dollar toegekend.
Dit onderzoek levert nieuwe inzichten op in de inbraakbeveiliging van moderne auto’s en kan bedrijven, zoals Tesla, helpen om deze zwakheden op te lossen. Tesla Model S-eigenaars gebruiken best de beveiligingsopties die onlangs werden toegevoegd aan de hand van een software-update.
De sleutels van fabrikanten zoals McLaren, Karma Automotive en Triumph Motorcycles zijn hoogstwaarschijnlijk ook kwetsbaar, omdat ze gebruik maken van hetzelfde soort computersysteem. Maar de onderzoekers kregen geen toegang tot deze voertuigen.
Toch doen eigenaars van deze voertuigen er goed aan om hun autosleutel in een metalen doosje te bewaren wanneer ze die niet gebruiken, aldus de onderzoekers. Op die manier worden radiosignalen tegengehouden. Zo maken ze de taak van de aanvaller niet onmogelijk, maar toch een stuk moeilijker.