Este nuevo ataque permite desbloquear y encender un Tesla Model Y en segundos
Tesla se enorgullece de sus protecciones de ciberseguridad, en particular del elaborado sistema de desafío que protege sus autos de los métodos convencionales para atacar el sistema de desbloqueo remoto. Pero ahora, un investigador ha descubierto un sofisticado ataque de retransmisión que permitiría a alguien con acceso físico a un Tesla Model Y desbloquearlo y robarlo en cuestión de segundos.
La vulnerabilidad, descubierta por Josep Pi Rodríguez, consultor principal de seguridad de IOActive, involucra lo que se llama un ataque de retransmisión NFC. Este requiere que dos ladrones trabajen en conjunto. Un ladrón debe estar cerca del automóvil y el otro cerca del propietario del automóvil, que tiene una tarjeta NFC o un teléfono móvil con una llave virtual Tesla en su bolsillo o bolso.
Las tarjetas de comunicación de campo cercano permiten a los propietarios de Tesla desbloquear sus vehículos y arrancar el motor. Para hacerlo deben tocar la tarjeta contra un lector NFC integrado en la carrocería del lado del conductor del automóvil. Los propietarios también pueden usar un llavero o una llave virtual en su teléfono móvil para desbloquear su automóvil. Sin embargo, el manual del automóvil les aconseja que siempre lleven la tarjeta NFC como respaldo en caso de que pierdan el llavero o el teléfono o la batería de su teléfono se agote.
Ataque
En el escenario de Rodríguez, los atacantes pueden robar un Tesla Model Y siempre que puedan ubicarse a unos 5 centímetros de la tarjeta NFC del propietario o del teléfono móvil con una llave virtual de Tesla. Por ejemplo, mientras está en el bolsillo o la cartera de alguien mientras camina por la calle, hace fila en Starbucks o se sienta en un restaurante.
El primer hacker usa un dispositivo Proxmark RDV4.0 para iniciar la comunicación con el lector NFC en el pilar de la puerta del lado del conductor. El automóvil responde transmitiendo un desafío que la tarjeta NFC del propietario debe responder. Pero en el escenario del hackeo, el dispositivo Proxmark transmite el desafío a través de Wi-Fi o Bluetooth al teléfono móvil del cómplice, quien lo coloca cerca del bolsillo o bolso del propietario para comunicarse con la tarjeta de acceso. La respuesta de la tarjeta llave luego se transmite de regreso al dispositivo Proxmark, que la transmite al automóvil. En otras palabras, autentica al ladrón ante el automóvil al desbloquear el vehículo.
Aunque el ataque a través de Wi-Fi y Bluetooth limita la distancia entre los dos cómplices, Rodríguez dice que es posible llevar a cabo el ataque a través de Bluetooth a varios metros de distancia el uno del otro o incluso más lejos con Wi-Fi, usando un Raspberry Pi para transmitir las señales. Él cree que también puede ser posible realizar el ataque a través de Internet, lo que permite una distancia aún mayor entre los dos cómplices.
Si el segundo cómplice tarda en acercarse al propietario, el automóvil seguirá enviando un desafío hasta que obtenga una respuesta. O Proxmark puede enviar un mensaje al automóvil diciendo que necesita más tiempo para producir la respuesta al desafío.
Más facilidades… más peligros
Hasta el año pasado, los conductores que usaban la tarjeta NFC para desbloquear su Tesla tenían que colocar la tarjeta NFC en la consola entre los asientos delanteros para poder cambiar de marcha y conducir. Pero una actualización de software el año pasado eliminó ese paso adicional. Ahora, los conductores pueden operar el automóvil con solo pisar el pedal del freno dentro de los dos minutos posteriores al desbloqueo del automóvil.
El ataque que ideó Rodríguez se puede prevenir si los propietarios de automóviles habilitan la función de PIN para conducir en su vehículo Tesla. Es decir, requiere que ingresen un PIN antes de poder operar el automóvil. Pero Rodríguez espera que muchos propietarios no habiliten esta función y es posible que ni siquiera sepan que existe. E incluso con esto habilitado, los ladrones aún podrían desbloquear el automóvil para robar objetos de valor.
Hay un problema en la operación: una vez que los ladrones apagan el motor, no podrán reiniciar el automóvil con esa tarjeta NFC original. Rodríguez dice que pueden agregar una nueva tarjeta NFC al vehículo que les permitiría operar el automóvil a voluntad. Pero esto requiere un segundo ataque de retransmisión para agregar la nueva llave, lo que significa que, una vez que el primer cómplice está dentro del automóvil después del primer ataque de retransmisión, el segundo cómplice debe acercarse nuevamente a la tarjeta NFC del propietario para repetir el ataque. Esto permitiría al primer cómplice autenticarse en el vehículo y agregar una nueva tarjeta de acceso.
Soluciones
Si los atacantes no están interesados en seguir conduciendo el vehículo, también podrían simplemente desmontar el coche por piezas, como ha ocurrido en Europa. Rodríguez dice que eliminar el problema de retransmisión que encontró no sería una tarea sencilla para Tesla.
“Solucionar este problema es realmente difícil sin cambiar el hardware del automóvil. En este caso, el lector NFC y el software que está en el vehículo”.
No obstante, la compañía podría implementar algunos cambios para mitigarlo. Por ejemplo, reducir la cantidad de tiempo que la tarjeta NFC puede tardar en responder al lector NFC en el automóvil.
“La comunicación entre el primer atacante y el segundo atacante toma solo dos segundos [en este momento], pero eso es mucho tiempo. Si solo tienes medio segundo o menos para hacer esto, entonces sería realmente difícil”.
Displicencia de Tesla
Rodríguez, sin embargo, dice que la compañía le restó importancia al problema cuando los contactó, indicando que la función PIN-to-drive lo mitigaría. Esto requiere que un conductor ingrese un PIN de cuatro dígitos en la pantalla táctil del automóvil para operar el vehículo. No está claro si un ladrón podría simplemente intentar adivinar el PIN. El manual de usuario de Tesla no indica si el automóvil bloqueará a un conductor después de una cierta cantidad de PIN fallidos.
No es la primera vez que los investigadores encuentran formas de desbloquear y robar vehículos Tesla. A principios de este año, otro investigador encontró una manera de encender un automóvil con una llave virtual no autorizada, pero el ataque requiere que el atacante esté cerca mientras el propietario abre el automóvil. Otros investigadores mostraron un ataque contra vehículos Tesla que involucra un ataque de retransmisión de llavero que intercepta y luego reproduce la comunicación entre el llavero del propietario y el vehículo.
Rodríguez dice que, a pesar de las vulnerabilidades descubiertas con los vehículos Tesla, cree que la empresa tiene un mejor historial en seguridad que otros vehículos.
“Tesla se toma la seguridad en serio, pero debido a que sus autos son mucho más tecnológicos que los de otros fabricantes, esto hace que su superficie de ataque sea más grande. En otras palabras, esto abre ventanas para que los atacantes encuentren vulnerabilidades. Dicho esto, para mí, los vehículos Tesla tienen un buen nivel de seguridad en comparación con otros fabricantes que son incluso menos tecnológicos”.
El investigador agregó que el ataque de retransmisión NFC también es posible en vehículos fabricados por otros fabricantes. Sin embargo, “esos vehículos no tienen la mitigación PIN-to-drive“.