Grâce à un hack, des doctorants de la TU Berlin et un chercheur en sécurité ont pu utiliser toutes les fonctions premium d'une Tesla que les acheteurs doivent normalement déverrouiller en premier : divertissement complet, sièges arrière chauffants, etc. Le point faible est probablement le nouveau système d'infodivertissement basé sur AMD.
La pré-annonce pour BlackHat USA 2023 a tout pour plaire : dans une contribution de 40 minutes, trois doctorants de la TU Berlin et le chercheur en sécurité Oleg Drokin veulent montrer. Comment pirater le système d'infodivertissement d'une Tesla (MCU-Z), puis déverrouiller les fonctionnalités premium. Parce que les acheteurs doivent généralement payer pour des sièges arrière chauffants ou une accélération plus rapide via un abonnement à utiliser. Après le piratage, l'ordinateur de bord est sûr que l'abonnement est valide et que toutes les fonctions ont été payées.
Le piratage de Tesla déverrouille les services d'abonnement
Tesla est connue pour ses ordinateurs de voiture avancés et bien intégrés, allant des objectifs de divertissement quotidiens aux fonctions de conduite entièrement autonomes. Plus récemment, Tesla a commencé à utiliser cette plate-forme établie pour permettre les achats en voiture, non seulement pour des fonctionnalités de connectivité supplémentaires, mais même des fonctionnalités analogiques telles qu'une accélération plus rapide ou des sièges arrière chauffants. Par conséquent, en piratant l'ordinateur de bord de la voiture, les utilisateurs pourraient déverrouiller ces fonctionnalités sans les payer.
Dans cet exposé, les chercheurs présentent une attaque contre les nouveaux systèmes d'infodivertissement basés sur AMD (MCU-Z), qui sont utilisés dans tous les nouveaux modèles. Il offre deux fonctionnalités distinctes : premièrement, il active le premier "Tesla Jailbreak" basé sur AMD non patchable qui permet à des logiciels arbitraires de s'exécuter sur l'infodivertissement. Deuxièmement, il permet d'extraire une clé RSA liée au matériel, spécifique au véhicule, utilisée pour authentifier et autoriser une voiture sur le réseau de service interne de Tesla.
La clé RSA peut être extraite
Pour ce faire, les chercheurs ont utilisé une attaque d'injection d'erreur de tension connue contre le processeur sécurisé AMD (ASP), qui sert de racine de confiance pour le système. Lors du congrès et du briefing, les chercheurs ont montré comment ils ont utilisé du matériel local peu coûteux pour lancer l'attaque par glitch et subvertir le code de démarrage initial de l'ASP. Ils montrent ensuite comment ils ont repensé le flux de démarrage pour avoir un shell racine pour leurs distributions Linux de récupération et de production.
Les droits root obtenus de cette manière autorisent toutes les modifications apportées à Linux, qui survivent également aux redémarrages et aux mises à jour. Ils permettent à un attaquant de décrypter le stockage NVMe crypté et d'accéder aux données utilisateur privées telles que l'annuaire téléphonique, les entrées de calendrier, etc. D'autre part, cela peut également profiter à l'utilisation des véhicules dans les régions non prises en charge. De plus, l'attaque ASP ouvre la possibilité d'extraire une clé d'attestation protégée par le TPM que Tesla utilise pour authentifier la voiture. Cela permet de migrer l'identité d'une voiture vers un autre ordinateur de voiture sans l'aide de Tesla, ce qui facilite certains travaux de réparation.
Plus sur BlackHat.com