Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Hackers kraken browser van Tesla-infotainmentsysteem bij Pwn2Own

Hackers hebben op het Pwn2Own-fest in het Canadese Vancouver de browser van het infortainmentsysteem van Tesla gehackt. Ze wisten een jit-bug in de renderer van de browser uit te buiten en daarna een pop-up op het scherm te krijgen met 'pwned by fluoracetate'.

De twee hackers van team Fluoracetate, Amat Cama en Richard Zhu, krijgen 35.000 dollar aan prijzengeld voor deze hack, maar ook de Tesla Model 3 die ze onder handen genomen hebben, mogen ze houden. Het gaat om een relatief onschuldige kraak. Voor het overnemen van de can-bus, het beveiligingssysteem of Autopilot waren de beloningen veel hoger, tot 250.000 dollar. De twee hebben ook exploits gevonden in Safari, Firefox, Edge, VMware Workstation en Windows 10. In totaal levert dat ze 375.000 dollar aan prijzengeld op, schrijft organisator Trend Micro.

Tesla maakt in een reactie tegenover TechCrunch bekend dat dit precies is waarom het bedrijf de auto beschikbaar heeft gesteld aan de competitie. Ook is het bedrijf tevreden over het feit dat alleen de browser getroffen is en de andere onderdelen, die bewust gescheiden zijn van elkaar, buiten schot zijn gebleven. In de komende dagen gaat de Amerikaanse automaker een update uitbrengen om de kwetsbaarheid te verhelpen.

Als het goed is, moet de kwetsbaarheid linksom of rechtsom een kort leven beschoren zijn. Tesla-kopstuk Elon Musk maakte vrijdag bekend dat de browser aan de vooravond staat van een upgrade naar de Chromium-codebase.

Door Mark Hendrikman

Nieuwsposter

25-03-2019 • 11:53

69 Linkedin Google+

Reacties (69)

Wijzig sortering
Eigenlijk is het enorm goed dat de auto dit zo heeft doorstaan. Eerdere vulnerabilities hebben ze erg snel met OTA's opgelost. Daarmee doen ze het van alle autofabrikanten met stip het beste. Uiteraard is de auto ook wel het meest 'online' en is werkelijk elke actuator (zelf knopje voor de raambediening is te firmware updaten).

Hulde aan Tesla voor de goede samenwerking met de (hackers) community. En geeft ook maar weer eens aan hoever veel andere fabrikanten wel niet achterlopen.
Waarom is het "achter lopen" als een auto niet ieder klein dingetje aan het internet heeft gehangen? Ik zie het juist als voordeel dat de raambediening in andere auto's niet aan een systeem zit dat via internet geupdate kan worden. Ieder stukje firmware is een extra potentie voor bugs. Al die nieuwe sloten met gimmicks zoals automatisch de deur open doen wanneer je aan komt lopen zijn ook om de tuin te leiden met replay attacks en signaalversterkers.

Je opmerking geeft de indruk dat het uiteindelijk doel in de wereld is om zoveel mogelijk aan het internet te hangen, maar dan zonder te zeggen waarom en wat het je oplevert. En vooral ook daarbij compleet negeren dat het internet tegenwoordig vaker een nadeel dan een voordeel is. Niet alleen ivm hackers maar ook zeker met privacy. Ik zou zelf juist niet zo'n super-connected auto willen hebben. Liever zo'n offline jaren 90 ding, waar je alles nog zelf moet doen (maar dan wel met de zuinigere motoren die je tegenwoordig hebt natuurlijk). Niet te hacken, niet te tracken.
Wat het oplevert is dat de auto ultiem aanpasbaar is. Er zijn echt talloze features bijgekomen de afgelopen jaren. Om eens drie security voorbeelden te geven:
1. via een relay attack kon je, als je in de buurt was van de eigenaar met sleutel de auto openen en starten. Dit kan met vele auto's van vele merken. Tesla heeft vrijwel direct nadat dit bekend werd: de firmware van de keys veranderd om de relay attack moeilijker te maken. Ook het uitzetten van het automatisch openen van de auto mogelijk gemaakt (dan moet je dus op je sleutel drukken om hem van het slot te halen). En als derde pin-to-drive geïntroduceerd. Zonder pin-code kun je dus niet wegrijden. Probleem vanuit alle vectoren aangepast en opgelost.
2. Sentry mode is een tijdje terug geïntroduceerd. Hierbij maakt de auto automatisch opnames van zijn omgeving als er zaken niet pluis zijn. (Er was al een Dashcam functie een tijdje terug gelanceerd; zijn er andere merken die dit af-fabriek bieden?)
3. Valet Mode: vaker in gebruik in de VS, maar wel erg gaaf. Alle informatie van de gebruikers&eigenaar is afgeschermd. Je kunt dus niet navigeren naar thuis kiezen en zo het adres van de eigenaar achterhalen (privacy). Snelheid en acceleratie worden gelimiteerd. Frunk, trunk, glove-compartment zitten op slot. En je hebt alle informatie over wat je auto uitspookt op je mobiel.
goeie optie die 3.

Niet over gedacht dat dit voor auto's ook het geval is omdat ik nooit kies voor navigatie in een auto. Maar voor telefoons wist ik het wel.
Als je geen beveiliging op je telefoon hebt moet je nooit je thuis adres als 'thuis' in je telefoon zetten. Als iemand dan in een cafe je tas steelt met telefoon en sleutels erin kan die persoon gelijk door naar je huis om ook daar binnen te dringen.
De Model S is uit 2012, de industrie komt anno 2019 mondjesmaat met OTA's. Daarvoor moest je dus met een SD kaartje aan de gang of zelf terug naar de garage. Als er al updates uitkomen voor je auto. Beleid en feitelijke acties van Tesla waren zijn tijd flink vooruit.
Tesla heeft gewoon een grote tablet met daarop internet joepiedepoepie wat hightech zeg. Daarnaast andere fabrikanten bouwen de infotainment systeem op basis van de auto en niet omdat er een grote lelijke tablet midden in de consol hoort.
Als je niet Tesla rijdt is het een beetje ongefundeerd en negatief om te zeggen. Qua features en telkens updates is er echt geen ander merk die daar in de buurt komt. En dan bedoel ik niet alleen Autopilot, maar ook gewone updates, zoals van de afgelopen maanden: Dog-mode, Camper-mode, Sentry Mode, Pin-to-drive, Love-Mode, allerlei Atari games, enz. enz.
Ok, weer eens even gezocht op Easter Eggs in Tesla's gezien ik jouw mention zag van "love mode"; die heet eigenlijk "Romance mode", maar alom:

bron

"Toilet Humor":
In the spirit of fun and good-natured toilet humor, Tesla allows drivers to select which type of fart could be activated on the vehicle. Among the choices are the “Not a Fart,” a reference to Musk’s Not-a-Flamethrower, the “Short Shorts Ripper,” an evident gesture to TSLA short-sellers who consistently attempt to discredit the company, the “Falcon Heavy,” a nod to SpaceX’s largest operational rocket to date, the “Ludicrous Fart,” a reference to the Model S P100D and Model X P100D’s Ludicrous Mode, the “Boring Fart,” a direct nod to The Boring Company, and “I’m so random,” which likely involves a randomized activation of the vehicle’s different fart sounds.
- video

"Romance mode":
Once enabled, Romance Mode transforms the entire center display of a vehicle into a fireplace, complete with the sounds of a crackling fire. In a follow-up post, John McAfee noted that the Easter Egg also blasts heat from the front vents, while playing some romantic music (the Model S owner noted that his car played Marvin Gaye’s Sexual Healing when he activated Romance Mode).
- video
Peetke uit zijn waardering voor de samenwerking tussen Tesla en dit soort initiatieven. Andere fabrikanten doen dit niet of in mindere mate (of met minder publiciteit en bureaus, maar dat is mijn interpretatie).
Tesla heeft gewoon een grote tablet met daarop internet joepiedepoepie wat hightech zeg. Daarnaast andere fabrikanten bouwen de infotainment systeem op basis van de auto en niet omdat er een grote lelijke tablet midden in de consol hoort.

Je merkt meteen op dat bij Tesla niet echt auto bouwers zitten of tenminste auto designers die at weten hoe het wel hoort.
Denk dat het een kwestie van smaak is denk ik. Ik zelf vind de middenconsole erg mooi en handig.
Het hebben van een internet browser zorgt toch weer voor meer mogelijkheden. Je kunt bijvoorbeeld je eigen dashboard bouwen in een Webapp. Volgens mij is dat ook waar Tweaken echt over gaat.
Als je nou eens in een Tesla had gezeten en gereden en het systeem had gebruikt dan zou je dit denk ik niet zeggen. Ik rijd nu 5 jaar Tesla, eerst een Model S en sinds kort de Model 3 en ik ben zeer te spreken over dit systeem.
Ik zou mij graag willen mengen in deze discussie als ervaringsdeskundige. Ik Denk dat u mij hier prima bij kan helpen :p
Ik lees veel frustratie, maar geen inhoud. De meeste autofabrikanten zijn juist meerdere grotere schermen in auto's gaan bouwen. Die kleine mini schermen zitten nu alleen nog in de budget auto's. De industrie loopt ook daar achter Tesla aan.

Dus qua software, qua scherm, maar zeker ook andere hardware:
-Jaguar iPace, Mercedes EQC en Audi e-tron kunnen niet tippen aan de efficiency van Tesla. Die heeft inmiddels elektromotoren die zelfs eeuwig mee gaan (1,6 miljoen km zonder merkbare slijtage).
-Met 250kW laden hebben ze ook laden aan de top, 3-fasen laden beter dan elk merk (ok hier dan tweede, ivm de Renault Zoe)
-Superchargers, geen merk dat iets kan doen wat ook maar een slap aftreksel is.
-Online bestellen van je auto (hele industrie volgt hier Tesla)
-Geen winst op onderhoud (rare prikkels bij traditionele automakers om een slechte auto te maken en te verdienen aan onderhoud)
-Remmen op je elektromotor, maar dan zo goed dat je nooit meer nieuwe remschijven nodig hebt. Alleen de allernieuwste Nissan Leaf komt hier echt bij in de buurt.
-Geen enkel (verplicht) onderhoud aan je auto. Lange garanties op accu en drivetrain.

Zo zijn er nog veel meer punten.
Dat kan en tóch mis je 'beleving', 'uitstraling' en restwaarde...
Als je dan even kijkt naar wat er aan zit te komen in auto land, neem bijv even de Audi E-tron GT en zet die even naar een Tesla S, ja sorry hoor, maar dan hoeven denk ik nog maar een paar mensen na te denken, de rest neemt de Audi... Het is toch ook een beetje nog de cockpit, de gebruikte materialen, de 'mannelijkheid ' zelfs misschien die toch maken dat Tesla een beroerde uitstraling heeft. En dan laat ik de vreselijk lelijke zwart, rood, grijs en witte lakkleuren nog even buiten beschouwing.

https://www.audi.nl/nl/we...di-e-tron-gt-concept.html

Edit: maakt natuurlijk wel dat de electrificatie vd automarkt dóór Tesla een paar jaar gewonnen heeft

[Reactie gewijzigd door Tig3r op 25 maart 2019 16:48]

Ik snap dat je tevreden bent over Tesla, maar waarom nou meteen doorslaan naar een fanboy?
-Geen winst op onderhoud (rare prikkels bij traditionele automakers om een slechte auto te maken en te verdienen aan onderhoud)
Ik vraag me echt af op basis waarvan je dat kunt beweren. Het net staat vol met klachten over de extreem hoge onderhoudskosten voor een Tesla. Daar word echt dik winst op gemaakt.

(wellicht iets minder winst dan bij andere autos die voor €100.000 verkocht worden, maar nog steeds dikke winst)
-Remmen op je elektromotor, maar dan zo goed dat je nooit meer nieuwe remschijven nodig hebt. Alleen de allernieuwste Nissan Leaf komt hier echt bij in de buurt.
Ik heb zelf geen ervaring met Tesla maar de remschijven heb ik hele andere verhalen gehoord. (al een paar keer vervangen in een jaar)

Neem je niet te veel de propaganda van Tesla over?
Als je twijfelt aan mijn verhaal kom dan met argumenten.

1. eigen ervaring (172.000km en 160.000km) 2. alles wat ik hoor van anderen. 3. alles wat ik volg op internet. Belangrijkste is je rijgedrag. Netjes rijden en je remt alleen op je motor. Ik doe ook bijvoorbeeld flink lang met set banden (70.000km).

Ik lees hetzelfde over andere EV's met goede regen:
"I almost never use the brakes, brake pads should last forever. My 217K mile Prius has the original pads and about 85% left."

Tesla zelf:
https://www.tesla.com/nl_NL/support/car-maintenance
"Omdat het elektrische auto's zijn, is zelfs het vervangen van remblokken zeldzaam. Dankzij regeneratief remmen wordt remenergie namelijk teruggeleid naar de batterij, wat slijtage van de remmen aanzienlijk vermindert."
Remschijven op een ev die niet gebruikt of erg weinig gebruikt worden gaan roesten waardoor je ze op den duur moet vervangen. ook het gangbaar houden van de remzuigers en blokken is daardoor belangrijk. Vergeet ook niet dat aan auto`s met een vrij korte onderhoudsinterval het minste mankeert na een aantal jaren.
Goedkope designkeuze is er gemaakt. Denk je dat andere fabrikanten dit niet kunnen betreft de infotainment systeem? Het hele knoppenbedienen is gebouwd op de auto. Andere fabrikanten voegen alleen extra opties toe. Je praat j zelf tegen met Mercedes en Audi etc. Want die behouden juist de fysieke structuur. Want het scherm hebben ze het bedienen fysiek als touch hebben ze zelfs BMW heeft met gebaren
. Tesla is een aftreksel besparen op knoppen en schermen en plaatsen een debielr scherm in het midden 8)7 8)7 8)7 8)7 8)7 geloof me als andere fabrikanten het wouden hadden ze het allang . Enige waar Tesla op voorop loopt is de EV zelf, de rest is niks .. ik praat niet over de ev

https://youtu.be/wJaIPGDfIHE

De kwaliteit is er, gewoon voor je en niet telkens naast je. Vaalend designkeuze meer niet.

[Reactie gewijzigd door theduke1989 op 25 maart 2019 22:16]

Vandaar ook dat de werking van dit systeem overal geroemd wordt. :o
In de model 3 werkt het ook uitstekend. Dat er vanwege allerlei redenen(o.a. kostenbesparing) fysieke knopjes/tellers zijn weggelaten, en dat sommige zaken niet super fijn te bedienen zijn met een touchscreen is ook helemaal waar, maar als snappy geïntegreerd "infotainment" systeem an sich is het een geweldig goed systeem.
Al het belangrijke moet aan het stuur zitten zodat je,je ogen steeds op de weg gericht houdt. Fysieke knoppen zijn dus essentieel. Ook van die multi-knoppen waarbij je moet scrollen in een menu zijn ook absoluut nogo. Daarenboven zijn touchscreens gewoon niet makkelijk/prettig voor iets zo simpel als volume regelen, bij het ingeven van caracters is het natuurlijk weer net andersom.

[Reactie gewijzigd door klakkie.57th op 25 maart 2019 14:52]

De Tesla heeft dan ook fysieke knoppen. Ook het volume kan prima via het stuur geregeld worden.
Heb je er wel eens gebruik van gemaakt? Ook bij fysieke knoppen ben je afgeleid trouwens. En niets zo verwarrend als een stuur boordevol knopjes IMHO.
Fysieke knoppen kan ik zonder naar te kijken navigeren en bedienen. Geluid harder, next song, airco aan uit etc etc.
Doe dat maar eens op je tablet op een hobbelige weg, niet kijken en dan lekker aan de 'knoppen' draaien.
Succes! :+
Tuurlijk gebruik ik fysieke knoppen constant. Dat doe jij toch ook als je met de auto rijdt ?

Richtingaanwijzers, lichten, versnellingen, ruitenwissers, ...

[Reactie gewijzigd door klakkie.57th op 25 maart 2019 15:27]

Wat wordt er geroemd kan me niet herinneren dat het geroemd wordt. Daar zitten de Mercedes en Audi voorop nummer 1 .
Denk je dat "een grote tablet in het midden" er zo even wordt ingezet en hopsakee klaar is Kees? Je hebt geen idee hoeveel engineering hier aan vooraf gaat.

Misschien moet je je eerst even inlezen voordat je hier je ongefundeerde frustraties rond spuwt :)
“Op basis van de auto”.....?
Wat bedoel je hier dan precies mee? In de Tesla is er simpelweg een designkeuze gemaakt om die achterlijke hoeveelheid knopjes in een scherm te stoppen met een gebruiksvriendelijke interface.
Designkeuze? Ik denk eerder geldkeuze. 1 scherm is natuurlijk een stuk goedkoper dan talloze knoppen. Met die gedachtengang hebben ze een design gemaakt. Ik ben geen voor- of tegenstander van die keuze. Beide opties kunnen goed werken mits goed uitgevoerd naar mijn mening.
Welke achterlijke knoppen ? fysieke knoppen ;) is toch wel de betere keuses. Hoef niet naar een tablet etc etc.
Beter omdat?

En nogmaals tegen alle kritikasters zou ik zeggen: als je de kans hebt, probeer het eens, in zo’n Tesla. Na een uurtje ben je om!
Ik rij vrijwel uitsluitend op kleine Vlaamse wegen waar het constant gaat van 70, 50 en 30 of 50 km per uur (op wisselende uren) dus moet echt wel weten hoe snel ik rij. Met de ouderdom zijn mijn reflexen afgenomen merk ik en duurt het langer om naar een dashboard of een console te kijken. Zelf heb ik dat met een eigengemaakt hudje opgelost dat mijn snelheid op basis van gps gegevens weergeeft. Ik kan mij echt niet voorstellen dat het comfortabeler rijden zou zijn met die gigantische ipad in het midden.
Ben het (deels) eens met u. Een auto hoeft geen tablet. Ik wil gewoon zoveel mogelijk fysieke knoppen die ik ook daadwerkelijk kan indrukken. Van dit soort knoppen krijg je een duidelijke feedback als je ze indrukt. Ik wil niet eerst 10 tallen menus doorgaan voordat ik mijn ramen kan openzetten of voordat ik de airco kan aanpassen. Het scherm is enkel goed voor wat informatie te tonen (zoals gps). De meest logische plaats zou dan zelf achter het stuur zijn waar bij een normale auto het dashboard is maar bij Telsa model 3 vreemd genoeg gewoon leeg is. De makers wouden geen goede en veilige auto maken ze wilden enkel choqueren.
Van de andere kant natuurlijk ook erg gevaarlijk, dat betekend dat iemand dus ook de complete auto kan overnemen en dat er misschien overhaast OTA's gepushed worden die niet 100% veilig voor de inzittende zijn.

Ik ben van mening dat de systemen die de auto aansturen helemaal niet aan iets dat aan het internet hangt gelinkt moeten zijn. Dat moet hard zijn gescheiden.
ik denk dat je nog eens moet lezen. Ze zijn just gescheiden.
Ze hebben de browser binnen het info systeem overgenomen. Dat is iets heel anders dan "De complete auto kan overnemen". Het info systeem is een heel ander iets dan bv het autostuur programma.

En er blijkt ook nergens uit het nieuwsbericht, dat vanuit daar iets verder gehackt kan worden.

[Reactie gewijzigd door heuveltje op 25 maart 2019 12:28]

Het bericht gaat idd alleen over de browser die als het goed is en voor zover we vooralsnog kunnen zien inderdaad succesvol gescheiden is van de rest, maar die rest kan zelf ook compleet geupdate worden via het internet (zelfs push updates) en is dus per definitie kwetsbaar. Als ik het goed snap is dat wat @LOTG bedoelt en dat lijkt me een zeer terechte observatie.
maar die rest kan zelf ook compleet geupdate worden via het internet (zelfs push updates) en is dus per definitie kwetsbaar.
Waarom per definitie kwetsbaar? Jij weet welke veiligheidsmaatregelen er genomen zijn?

Mijn SSH poort op mijn server staat ook gewoon open (in mijn geval alleen voor Publickey's) dat wilt nog niet zeggen dat ik per definitie kwetsbaar ben. Het ligt er aan hoe de gehele verbinding tot stand komt.

Als de verbinding gewoon netjes via encryptie en veiligheidsleutels gaat, zou ik niet weten waarom het dan per definitie kwetsbaar zou zijn.
Een internet verbinding is per definitie kwetsbaar. Het kan allemaal heel goed beveiligd zijn, maar er kan altijd ergens een lek zitten. Niks is 100% beveiligd tegen hacken.
het doel is niet om 100% veilig te zijn tegen hacken, maar 100% veilig te zijn.
Nu is 100% veilig enkel een utopisch haalbare grens, maar wel een waar je naartoe moet werken.

Het risico van een auto zonder internet verbinding maar met een verouderde firmware versie zou in de toekomst veel groter kunnen worden dan enkel het risico van een actieve internetverbinding.

Ook zonder een internetverbinding is een auto niet veilig tegen hacken, het gaat uiteindelijk om kansberekening en risicocalculaties.
Ik zeg ook niet dat een internetverbinding iets slechts is, ik reageer alleen op het punt van @defixje dat een internetverbinding niet per definitie kwetsbaar zou zijn.

Waarom zou het risico van een auto zonder internetverbinding maar met verouderde firmware groter kunnen worden? Zulke auto's hebben geen autopilot wat van actuele firmware afhankelijk is. De auto gaat er ook niet anders van rijden. Met fysieke toegang kan een kwaadwillende natuurlijk wel bijvoorbeeld abs uitschakelen of dat soort dingen, maar als het al zo ver is dan kan diegene beter je remmen helemaal saboteren.
Het risico lijkt me nu idd nog niet zo groot, maar aangezien er steeds meer in een auto geautomatiseerd wordt is de kans dat er een keer een foute firmware rond gaat rijden steeds groter.

Als er een voetgangersdetectie systeem is wat verkeerd op een sensor reageert wil je niet dat er opeens op de snelweg vol geremd wordt door een auto. Of een cruise control die opeens een bovengrens vergeet en blijft gasgeven. Als er dan een update is lijkt het me veiliger deze update snel te kunnen installeren.
Dat zijn allemaal dingen die te voorkomen zijn door zelf op te letten als je in de auto rijdt, en niet blindelings vertrouwt op sensoren. En als dat voetgangersdetectie systeem verkeerd op een sensor reageert is dat niet doordat de firmware ineens verouderd is, dan was dat probleem altijd al aanwezig, of er is iets kapot gegaan in de hardware (of misschien software wat corrupt geraakt is). Het kan wel zijn dat het een situatie is die nog niet was voorgekomen, en dan is het inderdaad wel handig om een ota update te kunnen krijgen. Aan de andere kant, als het echt een gevaarlijke situatie oplevert waar je niks tegen kunt doen zul je ook niet zo snel weer gaan rijden voordat je weet wat het probleem is, en vooral hoe het opgelost kan worden.
Alles is hackable via internet, in tegenstelling tot een stand-alone auto die helemaal niet aangesloten is op dat internet. Je kunt de risico's via internet alleen acceptabel klein maken maar nooit uitsluiten.
Prima, maar tesla heeft zijn auto's iig gebouwd met deze mogelijkheid als uitgangspunt. Er worden bijna wekelijks bugs gevonden in auto's van andere fabrikanten waar je je afvraagt of ze wel snappen wat veiligheid is.

Zoals laatst dat men de remmen van een rijdende auto plotseling kan blokkeren met een app van het inbraakbeveiligingssysteem (die uiteraard onbeveiligd verbind met een server en die niet eens authenticatie doet) en men de gestuurde CAN berichten die via de app gestuurd worden dus niet filtert (in plaats van "raampje open/dicht": "ABS UIT" en "REMMEN AAN")
Ik snap je zorgen, maar laten we juist dit soort wedstrijden houden en bugs fixen. IoT geeft veel mogelijkheden, maar ook gevaren. Gevaren moet je wegwerken en voordelen behouden. Anders kunnen we natuurlijk alles loskoppelen van het internet. En laten we niet vergeten dat auto's juist niet de gevaarlijkste dingen zijn die via het Internet en/of wireless bereikbaar zijn.
Eens. Al die connected drivers zijn veel gevaarlijker }>
Dus elke keer als Tesla een update heeft (zoals vorige week waar de auto invoegend verkeer ruimte laat) zou ik naar de garage moeten? En volgende week weer? En als ik een probleem heb dat door software opgelost kan worden dan mag Tesla dat niet op afstand doen?

Vorige week nog deed een camera het niet helemaal goed, ik belde Tesla en die vertelde me dat ik even zelf moeten sturen terwijl ze de camera opnieuw configureerden. Ik hoefde niet eens te stoppen. Alleen Autodrive uit te zetten en daarna te rebooten (kan terwijl je rijd). Perfect.
Maar waarom moet die altijd en overal kunnen ? Kan toch perfect dat je een melding krijgt en dan even je auto moet parkeren en zelf connectie maken.
Always connected voor critische systemen is denk ik nergens voor nodig.

[Reactie gewijzigd door klakkie.57th op 25 maart 2019 14:57]

Ik ben van mening dat de systemen die de auto aansturen helemaal niet aan iets dat aan het internet hangt gelinkt moeten zijn. Dat moet hard zijn gescheiden.
Dat staat toch ook letterlijk in het artikel:

"Ook is het bedrijf tevreden over het feit dat alleen de browser getroffen is en de andere onderdelen, die bewust afgescheiden zijn van elkaar, buiten schot zijn gebleven."

Alleen het infotainment systeem is gehacked, die auto blijft gewoon doorwerken.
Wel heel toevallig samen met het nieuws dat Tesla binnenkort deze browser (toch al) gaat vervangen met een Chromium browser. Wat heb je nog aan dit resultaat zou je zeggen?
Wat is binnenkort? Het resultaat is dat de browser NU onveilig is, en dat potentieel iemand met minder goede intenties dit ook al had kunnen weten.

Ik kan uit het bericht zo snel niet opmaken of het ook te escaleren valt naar de rest van de auto, maar dat is potentieel een behoorlijke hack. Het was Tesla in elk geval 35K en een auto waard.
" Ook is het bedrijf tevreden over het feit dat alleen de browser getroffen is en de andere onderdelen, die bewust afgescheiden zijn van elkaar, buiten schot zijn gebleven" Zou dus niet als jump point te gebruiken zijn.
Of iets niet als jump point te gebruiken is komt niet naar voren. De contests kennen een beperkte tijd dus wellicht is deze mogelijkheid helemaal niet getest of kon deze niet grondig worden getest binnen het tijdsbestek. Dat iets niet gevonden is in een tijd beperkte test toont niet aan dat iets onmogelijk of niet kwetsbaar is.
Er zijn "genoeg" mensen die root toegang hebben tot de MCU (het centrale scherm in een Tesla). Dat is dus nog een stapje verder dan wat hier gebeurt is. Het is vziw nog nooit iemand gelukt om de Autopilot computer te hacken cq. root te krijgen daarop.

Wel zijn er firmware images gedownload waardoor de precompiled binaries van Autopilot wel beschikbaar zijn.

Kortom, deze hack is vooral bijzonder omdat het remote is. Root toegang tot een Tesla is niet zo speciaal.

Van wat ik er van weet (en dat is puur info van personen met root toegang) is dat het bij een Tesla toch wel verdomd goed in elkaar zit allemaal. Kritieke systemen zoals remmen overrulen de computer met hardware, zodat bv. een rempedaal altijd werkt ookal slaat je autopilot computer op hol.

[Reactie gewijzigd door Tozz op 25 maart 2019 14:02]

Hoezo? Ze zouden nog best een hot-fix uit kunnen brengen in een paar dagen en dan moeten black-hats zelf nog de exploit schrijven. Trouwens, die hot-fix komt er ook gewoon:
In de komende dagen gaat de Amerikaanse automaker een update uitbrengen om de kwetsbaarheid te verhelpen.
Younes vraagt: wat heb je hier nog aan, ze gaan het toch vervangen.
LOTG zegt: nou, hij is nog niet vervangen, dus natuurlijk heb je er wat aan.
Zoals de hotfix dus, waar jij mee komt :)
"Ik kan uit het bericht zo snel niet opmaken of het ook te escaleren valt naar de rest van de auto, maar dat is potentieel een behoorlijke hack. Het was Tesla in elk geval 35K en een auto waard."
Staat gewoon in het artikel. :-)

"Ook is het bedrijf tevreden over het feit dat alleen de browser getroffen is en de andere onderdelen, die bewust gescheiden zijn van elkaar, buiten schot zijn gebleven."

[Reactie gewijzigd door FreqAmsterdam op 25 maart 2019 13:42]

Nee, in het artikel staat alleen dat het niet geëscaleerd is naar de rest van de auto, niet of het mogelijk is.
Dit is het creëren van de noodzaak om te veranderen. Eerder was er wel een reden dat de browser niet zo vlot was, maar nu ze een onschuldig beveiligingslek hebben gevonden is er de noodzaak voor de buitenwereld gemaakt dat het noodzakelijk is om de browser te vervangen.
Zie daarvoor onder andere de theorieën van John Kotter over verandermanagement.
"Wat heb je nog aan dit resultaat zou je zeggen? "

zo'n 3 dingen:

1. publiciteit
2. publiciteit
3. publiciteit
$375.000 + 1 Tesla.
Good job, en wat een motivatie!
$35.000 + 1 Tesla model 3 krijgen ze. Die 375k is volgens mij het totaal wat ze hebben verdient

[Reactie gewijzigd door GrooV op 25 maart 2019 13:43]

Hangt van de interpretatie af :)
Ja, dat zei ik: $375.000, wat een mooie motivatie voor dat soort werk.
En wat een gat: 36 punten voor deze winnaars van het event vs. 5 voor de nummer twee.
Wat velen hier moeten begrijpen is dat het scenario van een hack wat resulteert tot overname van controle van een auto zoals de besturing, rem, gas geven of autopilot functies helemaal niet zo mogelijk is wat men denkt.

In theorie zou je kunnen zeggen dat alles digitaal werkt en dus gehacked kan worden en zo de overname van de auto mogelijk zou moeten zijn. Maar in de praktijk is dat vrijwel niet te doen in geval van de Tesla's.

Tesla heeft 2 losse systemen ingebouwd in de auto's.
1. Het Touchpaneel. Het grote scherm wat dingen zoals airconditioning, navigatie en de controlstab configureert zoals het aanpassen van bepaalde instellingen zoals km/mijl tot de sunroof, tot aan volume van media. Dit is het systeem waarmee jij interact voor hulpmiddelen en wordt ook gezien als een passief onderdeel van de auto welke compleet los staat van de "Drive Train"

2. Drive Train, Safety and AutoPilot functions. Dit is een systeem wat compleet los staat van het 1ste systeem en compleet geen contact nodig heeft met systeem 1. Als voorbeeld kan mijn Scherm compleet gereset worden door de 2 middelste knoppen op mijn stuur vast te houden terwijl ik 130 rij met AutoPilot op de Snelweg. AutoPilot blijft gewoon werken, de auto blijft gewoon rijden, de veiligheids functies blijven werken, de Camera's, Sensoren en radar blijven actief en er is compleet geen communicatie met het touchscreen nodig om dit in gang te brengen. De enige dingen die uitvallen is de airco zolang het scherm opnieuw opstart en de speakers waaronder waarschuwings chemes en knipperlicht geluid.

Als men beseft dat deze 2 computers compleet los van elkaar werken in elke Tesla. En het systeem wat de auto vervoert is uiteraard gemaakt om nooit te kunnen crashen. Dat zou anders extreme gevaren met zichzelf brengen, het gaat dus welliswaar gewoon om mechanische onderdelen zoals in elke andere auto maar digitaal geamplified.

Hier hebben ze extreem goed over nagedacht bij Tesla en een hack zou in het extreemste geval tot diefstal kunnen leiden maar niet tot overname van besturing mits de hacker het voor elkaar weet te krijgen om ook de 2e computer te hacken welke compleet anders is gecodeerd en geen verbinding heeft met internet.

Verder werkt Tesla met een zelflerend systeem bij AutoPilot en gaat het af op berekeningen op basis van de complete fleet van Tesla's. Ik denk zeker dat het goed is dat Tesla zulke acties doet om bugs te dichten en hacks zo het beste te voorkomen. Maar tegelijkertijd is het zeer onwaarschijnlijk dat een hacker zo ver in het systeem weet te komen om functies van de auto over te nemen zonder hierbij zelf de auto uit elkaar te halen om deze computer aan te passen met de juiste programma's.

Op dit item kan niet meer gereageerd worden.


OnePlus 7 Microsoft Xbox One S All-Digital Edition LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Sony PlayStation 5

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True