El sofisticado ataque de relevo requiere que dos ladrones trabajen juntos: uno cerca del propietario y otro cerca del automóvil.
Tesla se enorgullece de sus protecciones de ciberseguridad, en particular del elaborado sistema de desafío que protege sus autos de los métodos convencionales para atacar el sistema de desbloqueo remoto. Pero ahora, un investigador ha descubierto un sofisticado ataque de retransmisión que permitiría a alguien con acceso físico a un Tesla Model Y desbloquearlo y robarlo en cuestión de segundos.
La vulnerabilidad, descubierta por Josep Pi Rodríguez, consultor principal de seguridad de IOActive, involucra lo que se llama un ataque de retransmisión NFC y requiere que dos ladrones trabajen en conjunto. Un ladrón debe estar cerca del automóvil y el otro cerca del propietario del automóvil, que tiene una tarjeta NFC o un teléfono móvil con una llave virtual Tesla en su bolsillo o bolso.
Las tarjetas de comunicación de campo cercano permiten a los propietarios de Tesla desbloquear sus vehículos y arrancar el motor tocando la tarjeta contra un lector NFC integrado en la carrocería del lado del conductor del automóvil. Los propietarios también pueden usar un llavero o una llave virtual en su teléfono móvil para desbloquear su automóvil, pero el manual del automóvil les aconseja que siempre lleven la tarjeta NFC como respaldo en caso de que pierdan el llavero o el teléfono o la batería de su teléfono se agote.
En el escenario de Rodríguez, los atacantes pueden robar un Tesla Model Y siempre que puedan ubicarse a unas dos pulgadas de la tarjeta NFC del propietario o del teléfono móvil con una llave virtual de Tesla, por ejemplo, en el bolsillo o la cartera de alguien mientras caminan calle abajo, haciendo fila en Starbucks o sentados en un restaurante.
El primer hacker usa un dispositivo Proxmark RDV4.0 para iniciar la comunicación con el lector NFC en el pilar de la puerta del lado del conductor. El automóvil responde transmitiendo un desafío que la tarjeta NFC del propietario debe responder. Pero en el escenario del hackeo, el dispositivo Proxmark transmite el desafío a través de Wi-Fi o Bluetooth al teléfono móvil del cómplice, quien lo coloca cerca del bolsillo o bolso del propietario para comunicarse con la tarjeta de acceso. La respuesta de la tarjeta llave luego se transmite de regreso al dispositivo Proxmark, que la transmite al automóvil, autenticando al ladrón ante el automóvil al desbloquear el vehículo.
Aunque el ataque a través de Wi-Fi y Bluetooth limita la distancia entre los dos cómplices, Rodríguez dice que es posible llevar a cabo el ataque a través de Bluetooth a varios pies de distancia el uno del otro o incluso más lejos con Wi-Fi, usando un Raspberry Pi para transmitir las señales. Él cree que también puede ser posible realizar el ataque a través de Internet, lo que permite una distancia aún mayor entre los dos cómplices.
Una vez que los ladrones apagan el motor, no podrán reiniciar el automóvil
Si el segundo cómplice tarda en acercarse al propietario, el automóvil seguirá enviando un desafío hasta que obtenga una respuesta. O Proxmark puede enviar un mensaje al automóvil diciendo que necesita más tiempo para producir la respuesta al desafío.
Hasta el año pasado, los conductores que usaban la tarjeta NFC para desbloquear su Tesla tenían que colocar la tarjeta NFC en la consola entre los asientos delanteros para poder cambiar de marcha y conducir. Pero una actualización de software el año pasado eliminó ese paso adicional. Ahora, los conductores pueden operar el automóvil con solo pisar el pedal del freno dentro de los dos minutos posteriores al desbloqueo del automóvil.
El ataque que ideó Rodríguez se puede prevenir si los propietarios de automóviles habilitan la función de PIN para conducir en su vehículo Tesla, lo que requiere que ingresen un PIN antes de poder operar el automóvil. Pero Rodríguez espera que muchos propietarios no habiliten esta función y es posible que ni siquiera sepan que existe, incluso con esto habilitado los ladrones aún podrían desbloquear el automóvil para robar objetos de valor.
Hay un problema en la operación: una vez que los ladrones apagan el motor, no podrán reiniciar el automóvil con esa tarjeta NFC original. Rodríguez dice que pueden agregar una nueva tarjeta NFC al vehículo que les permitiría operar el automóvil a voluntad. Pero esto requiere un segundo ataque de relevo para agregar la nueva llave, lo que significa que, una vez que el primer cómplice está dentro del automóvil después del primer ataque de relevo, el segundo cómplice debe acercarse nuevamente a la tarjeta NFC del propietario para repetir el ataque de relevo, que permitiría al primer cómplice autenticarse en el vehículo y agregar una nueva tarjeta de acceso.
Si los atacantes no están interesados en seguir conduciendo el vehículo, también podrían simplemente desmontar el coche por piezas , como ha ocurrido en Europa. Rodríguez dice que elimina la vulnerabilidad del relé que encontró no sería una tarea sencilla para Tesla.
“Solucionar esta vulnerabilidad es realmente difícil sin cambiar el hardware del automóvil; en este caso, el lector NFC y el software que está en el vehículo”, dice.
Pero dice que la compañía podría implementar algunos cambios para mitigarlo, como reducir la cantidad de tiempo que la tarjeta NFC puede tardar en responder al lector NFC en el automóvil.
“La comunicación entre el primer atacante y el segundo atacante toma solo dos segundos [en este momento], pero eso es mucho tiempo”, señala. “Si solo tienes medio segundo o menos para hacer esto, entonces sería realmente difícil”.
Rodríguez, sin embargo, dice que la compañía le restó importancia a la vulnerabilidad cuando los contactó, indicando que la función PIN-to-drive lo mitigaría. Esto requiere que un conductor ingrese un PIN de cuatro dígitos en la pantalla táctil del automóvil para operar el vehículo. No está claro si un ladrón podría simplemente intentar adivinar el PIN. El manual de usuario de Tesla no indica si el automóvil bloqueará a un conductor después de una cierta cantidad de PIN fallidos.
Tesla no respondió a una solicitud de comentarios de The Verge .
No es la primera vez que los investigadores encuentran formas de desbloquear y robar vehículos Tesla. A principios de este año, otro investigador encontró una manera de encender un automóvil con una llave virtual no autorizada , pero el ataque requiere que el atacante esté cerca mientras el propietario abre el automóvil. Otros investigadores mostraron un ataque contra vehículos Tesla que involucra un ataque de retransmisión de llavero que intercepta y luego reproduce la comunicación entre el llavero del propietario y el vehículo.
Rodríguez dice que, a pesar de las vulnerabilidades descubiertas con los vehículos Tesla, cree que la empresa tiene un mejor historial en seguridad que otros vehículos.
“Tesla se toma la seguridad en serio, pero debido a que sus autos son mucho más tecnológicos que los de otros fabricantes, esto hace que su superficie de ataque sea más grande y abre ventanas para que los atacantes encuentren vulnerabilidades”, señala. “Dicho esto, para mí, los vehículos Tesla tienen un buen nivel de seguridad en comparación con otros fabricantes que son incluso menos tecnológicos”.
Agrega que el ataque de retransmisión NFC también es posible en vehículos fabricados por otros fabricantes, pero “esos vehículos no tienen mitigación de PIN para conducir”.
Fuente: https://www.theverge.com/2022/9/12/23348765/tesla-model-y-unlock-drive-car-thief-nfc-relay-attack
Es un conocido experto en seguridad móvil y análisis de malware. Estudió Ciencias de la Computación en la NYU y comenzó a trabajar como analista de seguridad cibernética en 2003. Trabaja activamente como experto en antimalware. También trabajó para empresas de seguridad como Kaspersky Lab. Su trabajo diario incluye investigar sobre nuevos incidentes de malware y ciberseguridad. También tiene un profundo nivel de conocimiento en seguridad móvil y vulnerabilidades móviles.