Abbiamo intervistato Martin Herfurt, l'hacker che ha messo in luce le falle di sicurezza delle Tesla ma non è stato ascoltato
La connettività ha reso sempre più intangibili alcune componenti che fanno funzionare le auto moderne in grado di generare dati e connettersi con il proprietario a distanza. Ingranaggi fisici sono stati sostituiti da righe di codice e controllo remoto in grado di aprire e chiudere l’auto dallo smartphone, attivare il climatizzatore e molto altro. Per quanto sofisticate siano, le auto moderne si rubano ancora con estrema facilità, come ha dimostrato l’ADAC in un test. L’abilità dei ladri d’auto smart, sta nell’individuare una falla nella Cybersicurezza e sfruttarla per risalire fino alle funzioni primarie. Questa accesso può trovarsi in un punto fisico dell’auto, come la centralina che controlla i fari LED della Toyota RAV 4 o nella comunicazione tra lo smartphone e l’auto, proprio come ha fatto Martin Herfurt, l’hacker-esperto di sicurezza informatica che ha comprato una Tesla Model 3 e l’ha rivoltata come un calzino, nonchè co-fondatore del pool di hacker trifinite.group specializzato in BLE (Bluetooth Low-Energy).
L’abbiamo intervistato per farci spiegare i dettagli del suo esperimento, cosa ha scoperto e come ha reagito Tesla alle sue segnalazioni.
Ciao Martin, ci racconti di te e del gruppo di hacker a cui appartieni?
“Sono un ricercatore indipendente sulla sicurezza informatica che si occupa principalmente, ma non esclusivamente, di vari aspetti della sicurezza di prodotti con tecnologia Bluetooth. Come uno dei co-fondatori di ‘trifinite.group’, ho lavorato con il Bluetooth Special Interest Group per aiutare a superare i primi difetti di progettazione e implementazione della tecnologia. Negli ultimi due anni, ho dedicato il mio tempo libero a studiare la sicurezza dei veicoli Tesla con il progetto TEMPA. Ho pubblicato una serie di video su YouTube che mostrano quanto sia facile rubare una Tesla se si hanno gli strumenti giusti. L’attrazione per l’evoluzione rapida della tecnologia IT mi ha portato a partecipare regolarmente e a tenere discorsi al Chaos Communication Congress e ad altre conferenze internazionali sulla sicurezza informatica dal 1997. Quando non sono impegnato a studiare le falle di sicurezza delle Tesla, sono l’amministratore delegato della IT-Wachdienst società di consulenza sulla sicurezza informatica austriaca che si concentra sul miglioramento della cybersecurity delle piccole e medie imprese”.
Perché ti sei concentrato su Tesla?
“Nel 2018, ho preordinato una Tesla Model 3 per la mia azienda, che ho ricevuto nell’aprile 2019. In questo modo, ho avuto l’opportunità di esaminarla attentamente. Presto ho scoperto che tutti i veicoli Model 3 mostrano un ID associato al trasmettitore Bluetooth che non cambia mai e non può essere disattivato. In pratica, ogni veicolo Tesla che utilizza lo smartphone come chiave digitale (tutti i nuovi veicoli Tesla lo fanno) emette un segnale Bluetooth Low-Energy che consente all’app Tesla di rilevare il rispettivo veicolo per sbloccarlo. Ogni Tesla trasmette un ID unico. Sfortunatamente, a causa della cattiva implementazione, questo ID non cambia nel tempo e non può essere disattivato – nemmeno se la funzione “phone as key” non viene utilizzata -. Questo rende ogni veicolo e il suo conducente identificabili e tracciabili. I veicoli possono essere rilevati con un normale smartphone da una distanza fino a 50 metri anche attraverso muri e porte del garage. Ho anche trovato un modo per ottenere il numero VIN da questo identificatore di veicolo apparentemente casuale. C’è anche un articolo su ‘The Parallax’ del 2019 che ne parla e ho sviluppato l’app Android gratuita “Tesla Radar” per mostrare questa lacuna”.
Perché questo è preoccupante secondo te?
“Oggi ogni modello Tesla prodotto ha questo trasmettitore Bluetooth che secondo il mio parere è dannoso per la privacy dei conducenti. Il fatto che i ladri di auto siano in grado di scoprire quali modelli di Tesla si trovano in quale garage semplicemente passando di lì è solo uno degli effetti collaterali. Quello che intendo per problema di privacy è che, anche senza l’uso telecamere, chiunque con una rete di ricevitori Bluetooth è in grado di tracciare la posizione di qualsiasi veicolo Tesla. Ad esempio, il mio datore di lavoro potrebbe rilevare automaticamente la mia auto nel parcheggio dell’azienda senza sforzo. Inoltre, secondo l’associazione tedesca dei distributori aftermarket indipendenti (GVA), l’identificativo VIN dei veicoli è considerato al pari dei dati personali che devono essere protetti secondo il GDPR. Non è ancora chiaro se la semplice crittografia del VIN sia sufficiente per proteggerlo”.
Quanto è stato facile aprire e rubare la Tesla nel tuo esperimento?
“Deludentemente facile! Quando ho iniziato a rilanciare i datagrammi Bluetooth LE attraverso un setup di tipo Machine-in-the-Middle (MitM), non mi aspettavo che questo approccio funzionasse. Forse, ero troppo fan di Tesla in quel momento. Scavando più a fondo, ho trovato il dizionario del protocollo VCSEC nell’applicazione Android ufficiale di Tesla, che mi ha permesso di capire i datagrammi che vengono passati tra il veicolo e lo smartphone e mi ha anche permesso di creare i miei messaggi. Rilanciare i messaggi originali mi ha permesso di superare grandi distanze tra il telefono e il veicolo del proprietario. In questo modo sarebbe possibile rubare l’auto di una persona che è in vacanza dal parcheggio dell’aeroporto stabilendo un relay attack attraverso internet. Tramite l’invio di messaggi è possibile:
- raccogliere messaggi di autorizzazione dallo smartphone che possono essere utilizzati in un successivo replay attack;
- vedere le diverse chiavi che sono iscritte nel veicolo e con quale frequenza sono utilizzate (script Tempara);
- inviare messaggi allo smartphone che confondono il meccanismo di sicurezza – rendendo inutilizzabile la chiave del telefono in uso al proprietario (attacchi Tesla Key Drop e Tesla Crypto Counter Confusion);
- registrare una propria chiave di accesso in determinate circostanze (Tesla Timer Attack), anche se è stato mitigato da Tesla con la versione software 2022.20.5;
- possibili altre cose che preferisco non menzionare…”
Hai mai segnalato a Tesla i bug trovati? Che reazione hai ottenuto?
“Sono stato in contatto con il team di sicurezza di Tesla due volte. Inoltre, ero in contatto con gli organizzatori del concorso Pwn2Own, dove Tesla forniva auto da hackerare nell’ambito di questo concorso. Tesla ha riconosciuto le mie scoperte e sostanzialmente mi ha detto che queste scoperte non erano abbastanza consistenti per ottenere una ricompensa. In pratica hanno considerato che l’ID trasmesso non è un problema di privacy (nel 2019) e la capacità di inoltrare i messaggi come una “nota limitazione del protocollo” (nel 2021). Sembrava che stessero minimizzando i problemi e le loro implicazioni per non pagare una ricompensa per me (e/o altri ricercatori). Inoltre, gli organizzatori di Pwn2Own hanno deciso che la mia via di attacco per creare propri messaggi VCSEC era considerata fuori contesto. Nel complesso, ho avuto l’impressione che Tesla stia abusando del suo programma di ricompensa dei bug per ottenere ricerche gratuite e mettere a tacere i ricercatori di sicurezza. Quindi, ho deciso di non rivelare più le mie scoperte a Tesla e ho iniziato a parlare dei nuovi vettori di attacco nelle mie presentazioni a varie conferenze”.
Cosa ti ha sorpreso dell’approccio di Tesla alla sicurezza informatica?
“Tesla e soprattutto Elon Musk sono noti per fare le cose più velocemente di quanto potessero pensare alle possibili implicazioni. Come molte altre società statunitensi, Tesla lascia importanti aspetti di controllo della qualità ai propri utenti. In questo modo, Tesla è in grado di muoversi velocemente e risparmiare denaro. Per molte ragioni, trovo questo approccio problematico, non solo per quanto riguarda la sicurezza informatica”.
Tesla ha appena affermato di voler aprire il proprio sistema di telemetria via API, per consentire ai clienti di decidere dove inviare i propri dati. Pensi che questo esporrà ancora di più i clienti a problemi di sicurezza e privacy?
“In generale, apprezzo l’opportunità per i ricercatori di esaminare questo tipo di dati. Poichè questi dati provengono dal back-end di Tesla, che è fondamentale per l’azienda, presumo che ci siano molti più meccanismi di protezione in atto. Ma guardando il track record di sicurezza di Tesla, sono sicuro che Tesla troverà un modo per incasinare anche questo a un certo punto”.
Quasi tutte le auto in commercio, durante alcuni test effettuati da ADAC o altri enti, sono state facilmente hackerate e aperte. Perché nel 2023 è ancora così facile rubare un’auto e ci sono così tanti problemi di sicurezza informatica?
“Dando un’occhiata al processo di valutazione del rischio delle Case automobilistiche quotate in borsa, ci sono molti più motivi per proteggere le risorse critiche per l’azienda, come i dati interni, piuttosto che avere una buona reputazione tra i clienti. Potrebbe sembrare cinico, ma ogni furto di veicolo comporta la possibilità di vendere una nuova auto. E le case automobilistiche lo sanno”.
Secondo te, è un problema di omologazione delle auto?
“Non sono a conoscenza delle particolarità del processo di omologazione dei veicoli. Per quanto ne so, l’omologazione riguarda principalmente la sicurezza di guida dei veicoli e non la sicurezza informatica. Quindi, i problemi di Cybersecurity non hanno un impatto sull’omologazione. Se non lo fa già, la sicurezza informatica dovrebbe avere un ruolo primario in questo processo”.
Questo articolo fa parte del terzo aftermarket report di SicurAUTO.it Auto Connesse ed Elettriche: le opportunità di oggi e domani. Per leggerlo tutto clicca il banner sotto.