Luego de que la empresa de automóviles eléctricos anunciara una actualización que facilitaba el arranque de sus vehículos tras ser desbloqueados con sus tarjetas llave NFC, el año pasado. Un investigador recientemente ha demostrado cómo se puede aprovechar esta función para robar autos.
Durante años, los conductores que utilizaban su tarjeta llave NFC de Tesla para desbloquear sus vehículos tenían que colocar la tarjeta en la consola central para empezar a conducir. Después de la actualización del pasado mes de agosto, los conductores podían manejar sus autos inmediatamente después de desbloquearlos con la tarjeta.
Medios para desbloquear un Tesla:
La tarjeta NFC
Un llavero
La aplicación telefónica.
Hace poco, Martin Herfurt, un investigador de seguridad de austriaco, notó algo extraño en la nueva función: No sólo permitía que el auto se pusiera en marcha automáticamente a los 130 segundos de ser desbloqueado con la tarjeta NFC, sino que también ponía al vehículo en condiciones de aceptar llaves completamente nuevas, sin necesidad de autenticación y sin que la pantalla del auto lo indicara.
"La autorización dada en el intervalo de 130 segundos es demasiado general... no sólo para conducir", dijo Herfurt en una entrevista en línea. "Este temporizador ha sido introducido por Tesla... para hacer más cómodo el uso de la tarjeta NFC como medio principal de utilizar el auto. Lo que debería ocurrir es que el auto pueda arrancarse y conducirse sin que el usuario tenga que utilizar la tarjeta de acceso una segunda vez. El problema: dentro del periodo de 130 segundos, no sólo se autoriza la conducción del auto, sino también el registro de una nueva llave".
En el caso de la aplicación telefónica oficial de Tesla no permite registrar las llaves a menos que esté conectada a la cuenta del propietario, pero a pesar de ello, Herfurt descubrió que el vehículo intercambia gustosamente mensajes con cualquier dispositivo Bluetooth Low Energy o BLE que esté cerca. Así que el investigador creó su propia aplicación, llamada Teslakee, que habla (VCSec) el mismo lenguaje que la aplicación oficial de Tesla utiliza para comunicarse con los autos.
Una versión maliciosa de Teslakee que Herfurt diseñó como prueba de concepto muestra lo fácil que es para los ladrones inscribir su propia llave subrepticiamente durante el intervalo de 130 segundos. (El investigador planea publicar una versión benigna de Teslakee con el tiempo que hará más difícil llevar a cabo este tipo de ataques). El atacante utiliza entonces la aplicación Teslakee para intercambiar mensajes VCSec que inscriben la nueva clave.
Todo lo que se necesita es estar dentro del alcance del auto durante la ventana crucial de 130 segundos en que se desbloquea con una tarjeta NFC. Si el propietario del vehículo utiliza normalmente la aplicación del teléfono para desbloquear el auto (el método de desbloqueo más común para los Tesla), el atacante puede forzar el uso de la tarjeta NFC utilizando un bloqueador de señal para bloquear la frecuencia BLE utilizada por la aplicación del teléfono como llave de Tesla.
En el canal de YouTube Trifinite (grupo al que Martin Herfurt pertenece) subieron un video demostrando cómo funciona el proceso de hackeo para los vehículos. Trifinite Group es un colectivo de investigación y hackers que se centra en BLE.
Herfurt ha utilizado con éxito el ataque en los modelos 3 e Y de Tesla. No ha probado el método en los nuevos modelos S y X renovados en 2021, pero supone que también son vulnerables porque utilizan el mismo soporte nativo para el teléfono como llave con BLE.
Según Herfurt, el ataque aprovecha la forma en que Tesla gestiona el proceso de desbloqueo a través de la tarjeta NFC. Esto funciona porque el método de autorización de Tesla está roto. No hay conexión entre el mundo de la cuenta online y el mundo BLE offline. Cualquier atacante que pueda ver los anuncios de Bluetooth LE de un vehículo puede enviar mensajes VCSEC al mismo. Esto no funcionaría con la aplicación oficial, pero una aplicación que también es capaz de hablar el protocolo BLE específico de Tesla, permitiendo a los atacantes inscribir claves para vehículos arbitrarios. Teslakee se comunicará con cualquier vehículo si se le dice que lo haga.
Herfurt creó TeslaKee como parte del Proyecto Tempa, que "proporciona herramientas e información sobre el protocolo VCSEC utilizado por los accesorios de Tesla y la app de Tesla para controlar los vehículos mediante Bluetooth LE".
El ataque es bastante fácil en aspectos técnicos para llevarlo a cabo, pero la mecánica de vigilar un vehículo desatendido, esperar u obligar al propietario a desbloquearlo con una tarjeta NFC y posteriormente alcanzar el auto y robarlo puede ser engorrosa. Este método no es probable que sea práctico en muchos escenarios de robo, pero para algunos, parece viable.
Dado que Tesla mantiene un silencio de radio sobre este punto débil, no hay mucho que los propietarios preocupados puedan hacer. Una medida para contrarrestarlo es configurar el Pin2Drive para evitar que los ladrones que utilizan este método puedan arrancar el vehículo, pero no hará nada para evitar que el ladrón pueda entrar en el auto cuando esté cerrado. Otra protección es comprobar regularmente la lista de llaves autorizadas para desbloquear y arrancar el auto mediante un proceso que Tesla llama "lista blanca". Los propietarios de Tesla pueden realizar esta comprobación después de entregar una tarjeta NFC a un mecánico o a un aparca autos que no sean de confianza.
Basado en la falta de respuesta que Herfurt dijo que recibió de Tesla con respecto a las vulnerabilidades que descubrió en 2019 y nuevamente el año pasado, no está conteniendo la respiración de que la compañía abordará el problema.
"Mi impresión era que siempre lo sabían y que realmente no cambiarían las cosas", dijo. "Esta vez, es imposible que Tesla no sepa de esa mala implementación. Así que para mí no tenía sentido hablar con Tesla de antemano".
Probablemente si Herfurt está en lo cierto con respecto a que la compañía ya conocía sobre este problema, seguramente tenga que ver con el ultimátum de Musk hizo la semana pasada a sus empleados y sea una manera de reforzar los problemas que puedan estar salpicando a la marca.