Njemački tinejdžer kaže da je pronašao ranjivost u aplikaciji instaliranoj u nekim Teslama, što mu je omogućilo mogućnost otključavanja vrata, paljenja svjetala i puštanja muzike. Ovaj slučaj naglašava relativni nedostatak nadzora u aplikacijama koje neki vozači mogu preuzeti u svoje automobile.
David Colombo identificirao je ranjivost u TeslaMate, aplikaciji treće strane koju neki vlasnici Tesle koriste za analizu podataka iz svog vozila. Mogao je pristupiti 25 Tesli koje koriste aplikaciju, a nije imao pristup upravljanju, kočenju ili ubrzanju, što bi moglo biti posebno opasno.
Eksploatacija je otključala mnoštvo potencijalnih neželjenih mogućnosti za vozače, rekao je haker.
"Zamislite da se muzika uključi s maksimalnom glasnoćom i svaki put kada je poželite uključiti [sic], ona samo počne iznova ili zamislite svaki put kada otključate svoja vrata da se ona jednostavno ponovo zaključaju", napisao je Colombo.
U Medium postu Colombo je rekao da čak može pratiti lokaciju Tesla vozila tokom vožnje. Colombo je za CNN Business rekao da je odmah prijavio ranjivost koja je omogućila hakiranje uključenim stranama, uključujući Teslu. Colombo vodi tvrtku za kibernetičku sigurnost i nije neuobičajeno da istraživači sigurnosti traže ranjivosti softvera za potencijalnu naknadu. Tesla nudi novčane poticaje ljudima koji prijavljuju nedostatke u njenom softveru, ali Colombo je rekao da nije plaćen jer je ranjivost bila u aplikaciji treće strane, a ne u Teslinoj infrastrukturi.
Automobili, uključujući Tesle, bili su hakirani i prije. No stručnjaci za kibernetičku sigurnost vjeruju da je ovo prvi put da je vozilo hakirano putem aplikacije kojoj je odobren izravan pristup nekim kontrolama i podacima vozila. TeslaMate softver se instalira na računalo koje nije vozilo, a zatim pristupa vozilu putem sučelja za aplikacije. Aplikacije mogu oduševiti vozače uslugama koje njihov automobil inače ne bi imao, kao i stvoriti novi prihod za proizvođače automobila putem naknada za aplikacije.
No, stručnjaci za kibernetičku sigurnost upozoravaju da automobilska industrija mora sazrijeti, budući da postoje rastući rizici jer aplikacije u automobilu postaju sve češće u godinama koje dolaze.
"[Proizvođači automobila] moraju razmišljati o samoodbrambenim automobilima prije samovozećih automobila", rekao je za CNN Business Srinivas Kumar, potpredsjednik tvrtke za kibernetičku sigurnost DigiCert koji vodi napore u zaštiti povezanih uređaja. "Ako se automobil ne može odbraniti od napada, vjerujete li da je samovozeći?"
Colombo je rekao da će sprečavanje budućih hakova zahtijevati saradnju između proizvođača automobila, proizvođača aplikacija i vlasnika automobila.
Jedan od načina da se spriječi hakiranje ove prirode, rekao je, bio bi kada bi Tesla temeljitije ograničio pristup aplikacijama podacima i naredbama. Na primjer, aplikacija bi mogla biti ograničena tako da može vidjeti samo podatke, kao što su jesu li vrata zaključana, ali ne i mogućnost otključavanja.
"U savršenom svijetu te aplikacije u trgovini aplikacija koje možete preuzeti na svoju Teslu ne bi imale pristup ničemu kritičnom", rekao je Colombo.
Aplikacije trećih strana sve više postaju dostupne u novim automobilima. Neki noviji modeli nude ograničen raspon aplikacija na svom infotainment sistemu. Neki Cadillac vozači mogu preuzeti Spotify, NPR i Weather Channel, na primjer. Noviji Fordovi modeli nude aplikacije kao što su Waze, Domino's i Pandora.
Tesla nije službeno lansirala način na koji kreatori aplikacija dodaju aplikacije u svoja vozila. No, tehnološki pametni Teslini entuzijasti pisali su o tome kako to učiniti.
Moshe Shlisel, izvršni direktor izraelske tvrtke za kibernetičku sigurnost GuardKnox, rekao je da bi proizvođači automobila trebali pomno proučiti aplikacije koje završe na njihovim vozilima kako bi osigurali sigurnost. GuardKnox razvija način na koji automobili mogu nadzirati svoje aplikacije i isključiti ih ako rade nešto pogrešno, kao što je komunikacija s dijelom vozila koji je zabranjen.
"To je poziv za buđenje za cijelu industriju", rekao je Shlisel o Colombovom hakiranju.
Očekuje da će automobili u budućnosti imati stotine hiljada aplikacija koje možete birati.
General Motors pregledava aplikacije i skenira ih u potrazi za ranjivostima, rekao je glasnogovornik Darryll Harrison. Ford, koji također dopušta ograničen skup aplikacija na nekim vozilima, odbio je komentirati ovu priču.
Ali aplikacije za pregled prikazane na infotainment sistemima neće spriječiti osobu sa sofisticiranim tehničkim sposobnostima da pokrene aplikaciju na vozilu neovisno o odobrenju proizvođača automobila. Prema stručnjacima za kibernetičku sigurnost, to bi se moglo učiniti putem USB veze ili ranjivosti putem bežične mreže kao što se dogodilo u hakiranju Tesle.
Nacionalna uprava za sigurnost u prometu na autocestama objavila je najbolje prakse za kibernetičku sigurnost 2016., ali nije stvorila standarde za aplikacije instalirane u vozilima. Nije ni autoindustrija.
"Trenutno je otvorena sezona", rekao je Shlisel.