informação sobre na organização da proteção na rede Tesla, o que permitiu comprometer totalmente a infraestrutura que interage com os automóveis de consumo. Em particular, os problemas identificados permitiram o acesso ao servidor responsável por manter um canal de comunicação com os automóveis e enviar comandos transmitidos através de uma aplicação móvel.
Como resultado, o invasor conseguiu obter acesso root ao sistema de informação de qualquer carro por meio da infraestrutura Tesla ou transmitir remotamente comandos de controle para o carro. Entre outras coisas, foi demonstrada a capacidade de enviar comandos como ligar o motor e destravar portas do carro. Para ter acesso, bastava o conhecimento do número VIN do carro da vítima.
A vulnerabilidade foi descoberta no início de 2017 pelo pesquisador de segurança Jason Hughes.
(), que imediatamente informou Tesla sobre os problemas e tornou públicas as informações que descobriu apenas três anos e meio após o incidente. Note-se que a Tesla em 2017 corrigiu os problemas poucas horas após receber a notificação da vulnerabilidade, após o que reforçou radicalmente a proteção da sua infraestrutura. Pela identificação da vulnerabilidade, o pesquisador recebeu uma recompensa de 50 mil dólares americanos.
A análise dos problemas da infraestrutura da Tesla começou com a descompilação das ferramentas oferecidas para download no site . Os usuários de carros Tesla com conta no site service.teslamotors.com tiveram a oportunidade de baixar todos os módulos para desenvolvedores. Os módulos foram criptografados da forma mais simples, e as chaves de criptografia foram fornecidas pelo mesmo servidor.
Depois de descompilar os módulos resultantes em código em Python, o pesquisador descobriu que o código continha credenciais incorporadas para vários serviços Tesla localizados na rede interna da empresa, que era acessada via VPN. Em particular, no código conseguimos encontrar as credenciais de usuário de um dos hosts no subdomínio “dev.teslamotors.com” localizado na rede interna.
Até 2019, a Tesla utilizava um pacote VPN para conectar os carros aos seus serviços. OpenVPN (posteriormente substituída por uma implementação baseada em websocket) usando uma chave gerada para cada veículo. A VPN era usada para dar suporte ao aplicativo móvel, obter uma lista de estações de carregamento e outros serviços semelhantes. O pesquisador tentou escanear a rede acessível após conectar seu carro via VPN e descobriu que a sub-rede acessível aos clientes não estava adequadamente isolada da rede interna da Tesla. Isso incluía o acesso a um host no subdomínio dev.teslamotors.com, para o qual foram encontradas credenciais.
O servidor comprometido acabou sendo um nó de gerenciamento de cluster e era responsável por entregar aplicativos a outros servidores. Ao fazer login no host especificado, conseguimos obter parte do código-fonte dos serviços internos da Tesla, incluindo mothership.vn e firmware.vn, que são responsáveis por transmitir comandos aos carros dos clientes e entregar firmware. Senhas e logins de acesso aos SGBD PostgreSQL e MySQL também foram encontrados no servidor. Ao longo do caminho, descobriu-se que o acesso à maioria dos componentes pode ser obtido sem as credenciais encontradas nos módulos; bastava enviar uma solicitação HTTP à API Web da sub-rede acessível aos clientes;
Entre outras coisas, foi encontrado um módulo no servidor, dentro do qual havia um arquivo good.dev-test.carkeys.tar com chaves VPN utilizadas durante o processo de desenvolvimento. As chaves especificadas funcionaram e nos permitiram conectar à VPN interna da empresa vpn.dev.teslamotors.com.
No servidor também foi encontrado o código do serviço da nave-mãe, cujo estudo permitiu determinar pontos de conexão para diversos serviços de gerenciamento. Verificou-se que a maioria desses serviços de gerenciamento está disponível em qualquer carro, se conectado usando as chaves VPN encontradas pelos desenvolvedores. Através da manipulação dos serviços foi possível extrair chaves de acesso atualizadas diariamente para qualquer carro, bem como cópias das credenciais de qualquer cliente.
As informações especificadas permitiram determinar o endereço IP de qualquer carro com o qual foi estabelecida uma conexão via VPN. Como a sub-rede vpn.dev.teslamotors.com não estava devidamente separada pelo firewall, através de simples manipulações de roteamento foi possível chegar ao IP do cliente e conectar-se ao seu carro via SSH com direitos de root, utilizando as credenciais obtidas anteriormente pelo cliente.
Além disso, os parâmetros obtidos para a ligação VPN à rede interna permitiram o envio de pedidos a quaisquer viaturas através da API Web mothership.vn.teslamotors.com, os quais foram aceites sem autenticação adicional. Por exemplo, durante os testes foi possível demonstrar a determinação da localização atual do carro, destravar as portas e ligar o motor. O número VIN do veículo é usado como identificador para selecionar um alvo de ataque.
Fonte: opennet.ru
