Brist i telefonnycklar: Låser upp och stjäl bilen på 10 sekunder utan nyckel

Posted by Kristofer Rask maj 17, 2022

Säkerhetsföretaget NCC Group har upptäckt en sårbarhet i låssystem och mobila nycklar som förlitar sig på bluetooth. I sina tester provade forskarna tekniken på en Tesla Model 3 och lyckades på under 10 sekunder låsa upp bilen och köra iväg.

Tricket påminner om metoden där tjuvar fångar upp signalen från trådlösa bilnycklar och förlänger räckvidden med en sändare och mottagare. Med snarlika metoder har man lyckats, utan att varken bilen eller mobilens mjukvara upptäckt det, ta sig igenom blåtandens säkerhetslager.

Den stora skillnaden är också att forskargruppen upptäckte att det skulle vara möjligt att utföra attacken från distans, hundratals mil bort, över Internet. Bristen är inte begränsad till Teslas bilar utan kan drabba alla låssystem som använder tekniken.

– Allt som krävs är 10 sekunder och detta kan enkelt göras hur många gånger som helst. Det är inte en bra idé att byta säkerhet för bekvämlighet. Vi behöver bättre skydd mot sådana här attacker, säger Sultan Qasim Khan, säkerhetskonsult på NCC Group.

Har berättat för Tesla

I den detaljerade rapporten framkommer det att NCC Group har meddelat säkerhetsbristen till Tesla den 21 april. Tesla svarade en vecka senare att sådana attacker är ”en känd begränsning med passiva låssystem”.

NCC Group föreslår tre åtgärder:

  • Tillverkare kan minska risken genom att inaktivera närhetsnyckelfunktioner när användarens telefon har legat stilla ett tag (baserat på mobilens accelerometer).
  • Systemtillverkare bör erbjuda ge kunderna en andra autentisering, eller ”användarnärvarointyg”. Till exempel genom att trycka på en upplåsningskapp i telefonen.
  • Användare av berörda produkter bör inaktivera den passiva upplåsningsfunktionen som inte kräver uttryckligt användargodkännande. Eller inaktivera Bluetooth på den mobila enheten när den inte behövs.

Att åtgärda problemet ska inte heller vara så enkelt. Låssystemen som använder tekniken måste få både ny mjukvara och hårdvara.

En ytterligare försiktighetsåtgärd på Teslas bilar är att använda säkerhetsfunktionen ”PIN to drive”. Den kräver att föraren matar in en PIN-kod innan det går att köra iväg med bilen. Även om tjuven kan komma in i bilen, så kan den inte köra iväg med den.

Missa inget
En till två gånger i månaden får du ett trevligt nyhetsbrev med en sammanfattning av de senaste nyheterna. Det är helt gratis.
Ämne
Kristofer Rask
Fler nyheter
Kristofer är grundaren av Allt om Elbil. Följer utvecklingen av elbilen med fascination sedan 2016. Kör självklart också elbil. Mer information och kontakt.