La empresa estadounidense, Tesla, está tratando de comercializar vehículos eléctricos que sean asequibles para todos, se enorgullece de sus actualizaciones inalámbricas y de haber lanzado un nuevo código para corregir errores y agregar características.
Un investigador de seguridad demostró las vulnerabilidades de la Tesla Modelo X sistema de acceso sin llave; y descubrió que un hacker podría reescribir el firmware de un llavero a través de una conexión Bluetooth, extraer un código de desbloqueo del llavero, y utilizarlo para un Model X en minutos.
Cómo robar un Tesla Model X a través de Bluetooth
Lennert Wouters, investigador de seguridad de la universidad belga KU Leuven, encontró una falla en los coches Tesla Model X y su llavero sin llave. Descubrió que estas vulnerabilidades combinadas pueden ser explotadas por cualquier ladrón de automóviles que pueda leer el número de identificación del vehículo. Para esto debe leer el número serial del automóvil, el cual generalmente es visible en el tablero del carro a través del parabrisas y está aproximadamente a uno 15 metros del llavero de la victima.
El kit de hardware necesario para llevar a cabo el robo le costó a Wouters unos $300, está dentro de una mochila y se maneja por el teléfono del ladrón. En tan solo 90 segundos, el hardware puede extraer un código de radio que desbloquea el Modelo X del propietario. Una vez que el ladrón de coches está dentro, una segunda vulnerabilidad diferente encontrada por Wouters permitiría al ladrón emparejar su llavero con el vehículo de la víctim, después de un minuto de trabajo y escapar con el coche.
«Básicamente una combinación de dos vulnerabilidades permite a un hacker robar un Model X en minutos», dice Wouters, quien planea presentar sus hallazgos en la conferencia Real World Crypto en enero. «Si los combinas, obtienes un ataque mucho más poderoso».
Wouters dice que advirtió a Tesla sobre la técnica de hackeo sin llave Model X en agosto. Dice que la compañía le dijo que planea empezar a lanzar una actualización de software en sus llaveros esta semana y posiblemente también en los componentes de sus coches, para evitar al menos una de las partes del ataque.
Tesla le dijo a Wouters, que un parche de aire podría tardar casi un mes en instalarse en todos sus vehículos vulnerables, por lo que los propietarios del Modelo X deben asegurarse de instalar todas las actualizaciones que Tesla pone a su disposición en las próximas semanas para evitar la piratería. Mientras tanto, el investigador belga dice que tuvo cuidado de no publicar ningún código y no revelar detalles técnicos lo que permitiría a los ladrones de automóviles realizar sus trucos.
La técnica de Wouters explota una serie de problemas de seguridad que descubrió en el sistema de entrada sin llave del modelo X, tanto mayores como menores, que juntos forman un método para desbloquear, arrancar y robar completamente un vehículo.
En primer lugar, los llaveros del modelo X carecen del llamado «código de firma» para las actualizaciones de firmware. Tesla diseñó los llaveros del modelo X para recibir actualizaciones de firmware a través de bluetooth al conectarse de forma inalámbrica al ordenador dentro de un Modelo X, pero sin confirmar que el nuevo código de firmware tiene una firma criptográfica: imperdonable por Tesla.
Wouters descubrió que podía usar su computadora con Bluetooth para conectarse al llavero de un Model X, reescribir el firmware y usarlo para generar un código de desbloqueo para el vehículo. A continuación, podría enviar ese código a su ordenador a través de Bluetooth. Todo el proceso tomó 90 segundos.
Al principio, Wouters descubrió que la conexión por Bluetooh no era tan fácil. La radio Bluetooth del llavero Modelo X solo se «despierta» durante unos segundos cuando se retira la batería del dispositivo y luego se vuelve a insertar. Pero Wouters descubrió entonces que el equipo dentro del modelo X responsable del sistema de entrada sin llave, es un componente conocido como el Body Control Module (BCM), también puede ejecutar ese comando de despertar Bluetooth.
Al comprar su BCM Modelo X en eBay, este tendrá un costo de $50 a $100; con este Wouters podría copiar la señal de radio de baja frecuencia enviada al llavero. (Mientras que el comando de alarma inicial debe enviarse desde una distancia de radio cercana a unos 15 metros, el resto de la actualización de firmware se puede realizar desde cientos de metros de distancia si la víctima está al aire libre).
Wouters también encontró que el BCM toma un único código que se utiliza para probar la identidad del llavero, esto lo hace teniendo en cuenta los últimos cinco dígitos del número VIN del coche. Un ladrón sería capaz de leer esos dígitos del parabrisas del coche para robar, y luego podría usarlo para crear un código para su BCM. «Terminas con un BCM que piensa que perteneces al vehículo objetivo», dice wouters. «Así que puedo forzar a ese BCM a instruir a los llaveros que tienen el mismo identificador que ese coche a despertar, básicamente».
A pesar de esa piratería inteligente, Wounter explica que para desbloquear y guiar el coche se necesita ir un paso más allá. Una vez dentro del modelo X, Wouters descubrió que podía conectar su computadora a un puerto accesible a través de un pequeño panel debajo de la pantalla. Dice que esto se puede hacer en segundos, sin herramientas, solo se necesita sacar un pequeño contenedor en el tablero.
Este puerto permite al ordenador enviar comandos a la red de componentes internos del coche, conocido como bus CAN, que incluye el BCM. Luego podría instruir al Model X BCM para que se conecte con su llavero, esencialmente diciéndole al coche que su llave falsificada es válida. Aunque cada llavero del modelo X contiene un único certificado criptográfico que debería haber impedido que el coche se emparejara con una clave falsificada, Wouters descubrió que el BCM realmente no podía comprobar ese certificado. Esto le permitió en un solo minuto ir debajo del soporte para el panel y grabar la llave de su vehículo y llevárselo.
Wouters señala que las dos vulnerabilidades más graves que encontró, fueron la falta de validación tanto para las actualizaciones de firmware del llavero y la vinculación del nuevo llavero con un carro; indican que la falla puede estar en una aparente desconexión entre el diseño de seguridad del sistema de acceso sin llave. Modelo X y cómo se implementó. «El sistema tiene todo lo que necesita para estar seguro», dice wouters. «Y luego hay unas pequeños erroes que me permiten mover por todas las medidas de seguridad.»
Para demostrar su técnica, Wouters ensambló un pequeño dispositivo que incluye un miniordenador Raspberry Pi, un BCM Modelo X de segunda mano, un llavero, un convertidor de potencia y una batería. El kit completo, que puede enviar y recibir todos los comandos de radio necesarios desde el interior de una mochila, le cuesta menos de $300. Y Wouters lo diseñó para que pudiera controlarlo a escondidas ingresando el número de VIN del automóvil recuperando un código de desbloqueo y emparejando una nueva llave, todo desde un simple símbolo del sistema en su smartphone.
Wouters dice que no hay evidencia de que su técnica se haya utilizado para robar autos en el mundo real. Pero en los últimos años los ladrones han estado apuntando activamente a los sistemas de entrada sin llave de Tesla para robar vehículos, utilizando «ataques que amplifican la señal de un llavero para desbloquear y arrancar un coche, incluso cuando el llavero está dentro de la casa de la víctima y el coche está aparcado en su entrada».
El método de Wouters, aunque mucho más complejo, podría haberse puesto en práctica fácilmente si no hubiera advertido a Tesla, dice Flavio García, un investigador de la Universidad de Birmingham que se ha centrado en la seguridad de los sistemas de acceso sin llave de automóviles. «Creo que es un escenario realista», dice García. «Esto combina una serie de vulnerabilidades para construir un ataque práctico punto a punto en un vehículo».
La técnica de piratería del Modelo X no es el primer episodio en el que Wouters expone vulnerabilidades en los sistemas de entrada sin llave de Tesla: ya ha descubierto dos veces vulnerabilidades criptográficas en sistemas de acceso sin llave Tesla Model S que habría permitido de manera similar el robo de coches por radio. Aun así, argumenta que no hay nada particularmente en el enfoque de Tesla para la seguridad de la entrada sin llaves. Los sistemas parecidos probablemente sean igual de vulnerables. «Son autos geniales, por lo que es interesante trabajar en ellos», dice Wouters, «pero creo que si pasara mucho tiempo mirando otras marcas, probablemente encontraría problemas similares».
Wounter señala, que lo mas exclusivo de Tesla, es que, a diferencia de muchos otros fabricantes de automóviles, tiene la capacidad de enviar parches de software OTA en lugar de requerir que los conductores lleven su llaveros a un concesionario para ser actualizados o reemplazados. Y esta es la ventaja de tratar a los coches como computadoras personales: incluso cuando el mecanismo de actualización ha demostrado ser hackeable, ofrece a los propietarios de Tesla un salvavidas para resolver el problema.
