Kwetsbaarheid in API geeft hackers toegang tot elektrische auto's van Tesla

De Tesla Model S, een elektrische sportauto van het automerk Tesla, blijkt een beveiligingslek te bevatten. Dankzij een authentificatielek kunnen hackers bepaalde functie van de auto bedienen. Het lek is aanwezig in de REST API, die eigenaren van de Tesla Model S de mogelijkheid bieden verschillende onderdelen van de auto met hun smartphone of tablet aan te sturen.
Tesla Model S
Dankzij het gebruik van een kwetsbaar authentificatieprotocol hebben hackers toegang tot allerlei functies van de auto. Zo is het mogelijk de claxon te activeren, wijzigingen in de instellingen aan te brengen of de oplaadpoort te openen. Daarnaast kunnen aanvallers de status van de batterij opvragen, de klimaatcontrole en het zonnedak aansturen of zelfs de locatie van het voertuig achterhalen.
Eigen API van Tesla
Het probleem is ontdekt door onderzoeker George Reese. De onderzoeker schrijft in een blogpost dat de REST API die Tesla Model S-eigenaren de mogelijkheid biedt functies van hun auto vanaf hun smartphone of tablet te besturen erg kwetsbaar is. Reese stelt dat Tesla bij het ontwikkeling van de API alle normen die hiervoor gelden heeft genegeerd en een volledige eigen API heeft ontwikkeld. Hierbij is echter onvoldoende aandacht besteed aan beveiliging.
Eigenaren kunnen inloggen op de app voor Android of het iPhone-besturingssysteem iOS via de inlogcodes die zij hebben aangemaakt op www.teslamotors.com. Iedere Tesla-eigenaren heeft een dergelijk account, aangezien deze noodzakelijk is om de auto te kunnen samenstellen en bestellen. Gebruikers melden zich eenmalig aan met dit account, waarna de API een token aanmaakt die drie maanden geldig blijft. Pas zodra deze token is verlopen hoeven gebruikers hun inlogcodes opnieuw in te voeren.
Fouten in de beveiliging
Reese heeft echter ontdekt dat het niet mogelijk is te achterhalen welke applicaties over een actieve token beschikt. Wordt een app waar de gebruiker zijn token heeft achtergelaten daarnaast gehackt? Dan is het niet mogelijk de token in te trekken en blijft de app toegang behouden tot de auto. Hackers die toegang weten te krijgen tot een database met actieve tokens hebben dan ook langere tijd toegang tot een groot aantal auto's van het merk Tesla.