I ricercatori del COSIC, un gruppo di ricerca della La Katholieke Universiteit Leuven (KU Leuven) in Belgio, hanno trovato una serie di vulnerabilità nel Passive Keyless Entry and Start (PKES) sviluppato dalla Pektron, il sistema di apertura di alcuni veicoli di lusso tra cui la Tesla Model S.
I ricercatori del COSIC, un gruppo di ricerca della La Katholieke Universiteit Leuven (KU Leuven) in Belgio, hanno trovato una serie di vulnerabilità nel Passive Keyless Entry and Start (PKES) sviluppato dalla Pektron, il sistema di apertura di alcuni veicoli di lusso tra cui la Tesla Model S. Il risultato avrebbe permesso di rubare un’automobile Tesla (ma anche pare McLaren, Karma Automotive e Triumph, che usano la medesima tecnologia), semplicemente passando in prossimità del proprietario e “clonando” la sua chiave.
Oltre ad essere un pioniere in veicoli elettrici, Tesla è famosa per abbracciare pienamente il digitale all’esperienza di guida. Tuttavia, pur avendo idonee misure di sicurezza per proteggere i sistemi di guida della sua auto contro i cyber attacchi, un team di sicurezza ha scoperto un modo per rubare una berlina di lusso come Tesla Model S in meno di due secondi.
I ricercatori di sicurezza informatica e crittografia industriale (COSIC) gruppo del dipartimento di ingegneria elettronica presso l’Università di KU Leuven in Belgio, ha dimostrato come sconfiggere la crittografia utilizzata nei portachiavi wireless delle berline di lusso di Tesla Model S.
L’attacco a Tesla
Come la maggior parte dei sistemi di accesso senza chiave per autoveicoli, i portachiavi Tesla Model S inviano un codice crittografato, basato su una chiave crittografica segreta, ai ricevitori radio di un veicolo per attivarla e per sbloccare e disabilitare il suo immobilizzatore, consentendo l’avviamento del motore dell’auto.
Dopo nove mesi di lavori di ingegneria inversa, il team KU Leuven ha scoperto nell’estate del 2017 che il sistema di accesso senza chiave Tesla Model S, costruito da un produttore chiamato Pektron, utilizzava solo un debole codice a 40 bit (DST40) per crittografare i codici della chiave. Un codice di gran lunga troppo poco complesso, come già discusso in alcuni paper accademici del 2005, per essere considerato sicuro nel 2017.
I ricercatori hanno scoperto che una volta ottenuti due codici da un qualsiasi portachiavi, operazione che può facilmente essere svolta in remoto e senza che il proprietario se ne accorga per semplice “prossimità”, potevano banalmente provare ogni possibile chiave crittografica fino a trovare quella che sbloccava l’auto, in un attacco definito comunemente bruteforce o “a forza bruta”. Hanno quindi calcolato tutte le possibili chiavi per qualsiasi combinazione di coppie di codice per creare una massiccia tabella di 6-terabyte di chiavi pre-calcolate, quella che comunemente viene definita “rainbow table”.
Disponendo a questo punto delle coppie di codici e di tutti i codici precompilati, gli hacker accademici hanno stabilito come per trovare e duplicare qualsiasi chiave siano necessari solamente 1,6 secondi.
Nel loro attacco “proof-of-concept” i ricercatori dimostrano la loro tecnica di hacking con un kit hardware comprendente solo una radio Yard Stick One, una radio Proxmark, un minicomputer Raspberry Pi, la loro tabella precomputata su un disco rigido portatile e alcune batterie: una soluzione a basso costo se si pensa che il totale di tutta la apparecchiatura è di circa 600 dollari, per un bottino sicuramente invitante come una macchina di lusso, soprattutto senza lasciare alcuna traccia.
La procedura, nel dettaglio, si compone essenzialmente di due fasi:
Innanzitutto, viene utilizzata la radio Proxmark per raccogliere l’identificativo di un sistema di chiusura di Tesla, che l’auto trasmette sempre.
Quindi l’hacker avvicina la radio entro un perimetro di circa 3 piedi (circa un metro) dal portachiavi di una vittima, usando l’ID dell’auto per inviare una combinazione al portachiavi sostituendosi al veicolo. Riproducendo per due volte in rapida successione questa manovra “ingannano” il portachiavi a rispondere con la coppia di codici necessaria ai ricercatori per confrontarla con la tabella di codici precompilati e trovare la chiave segreta sottostante.
Una volta ottenuta la chiave viene banalmente inviato il segnale radio che sblocca la macchina e quindi non solo aprirla, ma avviare addirittura il motore.
L’intera catena di attacco, dicono i ricercatori, è possibile grazie alla crittografia relativamente debole del sistema Pektron.
“Oggi è molto facile per noi clonare questi portachiavi in pochi secondi”, afferma Lennert Wouters, uno dei ricercatori di KU Leuven. “Possiamo impersonare completamente il portachiavi e aprire e guidare il veicolo.”
L’innovazione di Tesla
L’attacco è particolarmente significativo perché Tesla ha aperto la strada al concetto di accesso senza chiave, che da allora si è diffuso alla maggior parte delle auto di lusso.
Tesla ha compiuto molti passi innovativi per proteggere i sistemi di guida delle sue vetture equipaggiate contro gli attacchi digitali. Attraverso il supporto di ingegneri di sicurezza, sono stati aggiunti aggiornamenti del software che hanno portato ad una maggior integrità del codice.
Solo due settimane fa, Tesla ha lanciato nuove funzionalità antifurto per il Modello S che includono la possibilità di impostare un codice PIN da inserire sul display del cruscotto per poter guidare l’auto.
Tesla afferma infatti che le unità Model S vendute dopo giugno di quest’anno non sono vulnerabili all’attacco, a causa della crittografia potenziata delle chiavi di lettura che ha implementato in risposta alla ricerca KU Leuven. Ma se i possessori di un Modello S fabbricati prima di allora non attivano quel PIN o non sostituiscono il loro portachiavi con la versione aggiornata, potrebbero risultare ancora vulnerabili. Un piccolo prezzo da pagare, soprattutto ora che c’è una ricerca pubblica che mostra come “rompere” le versioni meno sofisticate del protocollo.
Vale la pena notare che le auto Tesla sono già piuttosto resistenti ai furti, dal momento che il tracking GPS sempre attivo spesso consente alle vittime di rintracciare e recuperare le loro auto dopo che sono state rubate , il che a sua volta scoraggia “i ladri di automobili”.
Altri casi
Questa non è la prima volta che un attacco simile causa il panico nel mondo della sicurezza automobilistica.
Per anni, Volkswagen ha combattuto con un difetto nel transponder Megamos che ha permesso agli hacker di impersonare un portachiavi e innescare l’accensione delle autovetture, che altrimenti sarebbero state immobilizzate.
I ricercatori ritengono che il loro attacco potrebbe anche funzionare con le auto vendute da McLaren e Karma e le motociclette vendute da Triumph, che utilizzano anch’esse il sistema di chiavi di Pektron: perché non hanno tentato? Molto semplicemente non erano in grado di mettere le mani su quei veicoli per metterli alla prova.
La McLaren dice che sta ancora indagando sul problema ma sta allertando i suoi clienti sul potenziale rischio di furto e offrendo loro “sacchetti di blocco del segnale” gratuiti che bloccano le comunicazioni radio ai loro telecomandi quando non sono in uso. “Anche se questo potenziale metodo non ha dimostrato di influenzare le nostre auto ed è considerato a basso rischio, non sappiamo se un veicolo McLaren possa essere rubato da questo o da un altro metodo precedentemente segnalato”.
Se questi altri produttori potrebbero essere effettivamente colpiti, oltre a mettere le chiavi in quei “sacchetti che bloccano il segnale”, il blocco delle comunicazioni radio potrebbero risolvere definitivamente il problema. I ricercatori affermano che le società dovrebbero probabilmente sostituire tutti i portachiavi vulnerabili, oltre a inviare un aggiornamento software ai veicoli interessati. A differenza di Tesla, le cui automobili ricevono aggiornamenti via etere, ciò potrebbe non essere possibile per i veicoli di altri produttori.
Più in generale, gli attacchi di questo tipo, denominati “replay” perché in effetti non fanno altro che “replicare” un segnale, vengono spesso utilizzati per sbloccare le auto, anche se in genere è più difficile accenderle e spostarle.
Per anni, gli hacker hanno dimostrato che è possibile eseguire i cosiddetti attacchi “relay” contro i sistemi di accesso senza chiave , spoofing dei segnali radio di una macchina per ottenere una risposta dal suo portachiavi e quindi riprodurre quel segnale in tempo reale al sistema di bloccaggio dell’auto. In alcuni casi, gli hacker hanno eliminato quegli attacchi amplificando il segnale radio della chiave, o colmando la distanza tra l’auto e il portachiavi della vittima tenendo un dispositivo radio vicino a ciascuno. Questi attacchi a staffetta sono stati utilizzati per sottrarre furti d’auto molto reali, anche se non è mai stato chiaro quanti, data la mancanza di prove materiali lasciate sul luogo del furto.
L’attacco KU Leuven è però differente e consente a un ladro di clonare in modo permanente la chiave della vittima, in modo che possano sbloccare e guidare l’auto per sempre. “Fondamentalmente, possiamo fare tutto ciò che un attacco relay può fare e molto altro”, afferma Wouters.
La migliore difesa, ad oggi, è quella attuata appunto da Tesla: una crittografia decisamente più robusta per impedire che i segnali vengano decifrati.
Tesla ha riconosciuto quanto provato dai ricercatori di KU Leuven, attribuendo loro una “ricompensa per il bug” di $ 10.000 per il lavoro di ricerca svolto ma, dicono i ricercatori, non ha risolto il problema della crittografia se non con l’aggiornamento di giugno e l’aggiunta di codice PIN più recente. Tesla ha dichiarato che tali correzioni sono state implementate il più rapidamente possibile, dato il tempo necessario per confermare il lavoro dei ricercatori, testare una correzione e integrarla nei loro processi di produzione.
