Doktoranden der TU Berlin und ein Sicherheitsforscher konnten mit einem Hack alle Premiumfunktionen eines Teslas nutzen, die Käufer normalerweise erst freischalten lassen müssen: volles Entertainment, beheizte Rücksitze und mehr. Schwachstelle ist wohl das neuer AMD-basierte Infotainmentsystem.
Die Vorankündigung zur BlackHat USA 2023 hat es in sich: In einem 40-minütigem Beitrag wollen drei Doktoranden der TU Berlin und der Sicherheitsforscher Oleg Drokin zeigen. Wie sie sich über das Infotainmentsysteme (MCU-Z) eines Teslas einhacken und danach die Premiumfunktionen freischalten. Denn Käufer müssen normalerweise für beheizte Rücksitze oder schneller Beschleunigung via Abonnement für die Nutzung zahlen. Nach dem Hack ist der Bordcomputer sicher, dass das Abo valide ist und alle Funktionen bezahlt sind.
Tesla-Hack schaltet Aboleistungen frei
Tesla ist für seine fortschrittlichen und gut integrierten Autocomputer bekannt, die von alltäglichen Unterhaltungszwecken bis hin zu vollständig autonomen Fahrfunktionen reichen. In jüngerer Zeit hat Tesla damit begonnen, diese etablierte Plattform zu nutzen, um Käufe im Auto zu ermöglichen, nicht nur für zusätzliche Konnektivitätsfunktionen, sondern sogar für analoge Funktionen wie schnellere Beschleunigung oder beheizte Rücksitze. Durch das Hacken des integrierten Autocomputers könnten Benutzer diese Funktionen daher freischalten, ohne dafür zu bezahlen.
In diesem Vortrag stellen die Forscher einen Angriff auf neuere AMD-basierte Infotainmentsysteme (MCU-Z) vor, die in allen neueren Modellen zum Einsatz kommen. Es bietet zwei unterschiedliche Funktionen: Erstens ermöglicht es den ersten nicht patchbaren AMD-basierten „Tesla Jailbreak“, der es ermöglicht, beliebige Software auf dem Infotainment auszuführen. Zweitens wird es ermöglicht, einen ansonsten fahrzeugspezifischen, hardwaregebundenen RSA-Schlüssel zu extrahieren, der zur Authentifizierung und Autorisierung eines Autos im internen Servicenetzwerk von Tesla verwendet wird.
RSA-Schlüssel lässt sich extrahieren
Hierzu verwendeten die Forscher einen bekannten Spannungsfehlerinjektionsangriff gegen den AMD Secure Processor (ASP), der als Vertrauensbasis für das System dient. Auf dem Kongress und im Briefing zeigen die Forscher, wie sie kostengünstige, selbstgebaute Hardware verwendet haben, um den Glitching-Angriff zu starten und den frühen Boot-Code des ASP zu untergraben. Anschließend zeigen sie noch, wie sie den Boot-Ablauf umgestaltet haben, um eine Root-Shell für ihre Wiederherstellungs- und Produktions-Linux-Distribution zu erhalten.
Die so erlangten Root-Rechte ermöglichen beliebige Änderungen an Linux, die auch Neustarts und Updates überdauern. Sie ermöglichen es einem Angreifer, den verschlüsselten NVMe-Speicher zu entschlüsseln und auf private Benutzerdaten wie das Telefonbuch, Kalendereinträge usw. zuzugreifen. Andererseits kann es auch der Fahrzeugnutzung in nicht unterstützten Regionen zugute kommen. Darüber hinaus eröffnet der ASP-Angriff die Möglichkeit, einen TPM-geschützten Attestierungsschlüssel zu extrahieren, den Tesla zur Authentifizierung des Autos verwendet. Dies ermöglicht die Migration der Identität eines Autos auf einen anderen Autocomputer ohne jegliche Hilfe von Tesla, was bestimmte Reparaturarbeiten erleichtert.
Mehr bei BlackHat.com