Ännu en Tesla stöld i Ljungby, Småland, inatt 2019-08-09

[oscfor]

Aha, ok, det börjar klarna tror jag.

Teslas API är ju inte officiellt, eller hur? Utan det handlar om att folk har "bakåt-ingenjörat" API:t genom att analysera trafik från Tesla-appen. Jag har sett lite såna halvseriösa specar på nätet.

Tesla har alltså inte godkänt att andra använder deras API för att styra bilarna, men folk har gjort det ändå. Så när du och andra användare anger sitt Tesla-inlogg till dessa appar så anförtror ni alltså bilen till dem. Det handlar INTE om att 3e-parts-appar inte FÅR starta bilen, det handlar enbart om att de inte lyckats bakåtingenjöra de API-anropen än, eller att de helt enkelt valt att inte implementera dem i deras appar.

Jag skulle aldrig skriva in mitt Tesla-konto till en annan app, som dessutom säkert friskriver sig allt ansvar, eller?

Vad det *kan* handla om är alltså en 3e-parts-app som sen säljer inlogg, eller använder dem internt för att stjäla bilar. Det behöver inte vara nån av de kända apparna.

Nej, nu blandar du och ger. Tredjepart kan starta bilen med lösenordet. Det ingår i API. Det är framtaget genom att man ställer frågor till API. Inte någon bakåtingenjörning(!) med spårning. Du får svar på vilka funktioner som finns från API. Därav att det är så väl dokumenterat. Inget konstigt med det.

Det apparna gör är att de begär en access token som de använder för att styra och läsa av bilen. Men, och det här är ett viktigt men, du kan inte starta bilen mha token. Då krävs lösenord.

Jag har inte sett någon app som friskriver sig från ansvar. Detta eftersom de inte sparar lösenordet, eftersom de inte behöver det. Den enda appen som sparar lösenord vad jag vet är Remote Tesla, fd Remote S, och det är valfritt och en funktion för att du ska kunna starta bilen från Apple Watch.

[oscfor]

Fast paranoid är ju bara de som förstår att det är dumt att lämna ut lösenord. De flesta kommer säkert bara knappa in användarnamn och lösenord utan att fundera länge på det.

Och för de appar du nämner är det inget problem att göra det.

[LarsL]

Tänkte samma sak. Kan det ha kommit ut en ny app nyligen?

[LarsL]

Fast paranoid är ju bara de som förstår att det är dumt att lämna ut lösenord. De flesta kommer säkert bara knappa in användarnamn och lösenord utan att fundera länge på det.

Och för de appar du nämner är det inget problem att göra det.

Vad vet du om det? Vet du vilka det är som har tillgång till datan?

[oscfor]

Tänkte samma sak. Kan det ha kommit ut en ny app nyligen?

Det har faktiskt kommit en del. Inte minst en svensk.

[McMagnus]

Nej, nu blandar du och ger. Tredjepart kan starta bilen med lösenordet. Det ingår i API. Det är framtaget genom att man ställer frågor till API. Inte någon bakåtingenjörning(!) med spårning. Du får svar på vilka funktioner som finns från API. Därav att det är så väl dokumenterat. Inget konstigt med det.

Det apparna gör är att de begär en access token som de använder för att styra och läsa av bilen. Men, och det här är ett viktigt men, du kan inte starta bilen mha token. Då krävs lösenord.

Jag har inte sett någon app som friskriver sig från ansvar. Detta eftersom de inte sparar lösenordet, eftersom de inte behöver det. Den enda appen som sparar lösenord vad jag vet är Remote Tesla, fd Remote S, och det är valfritt och en funktion för att du ska kunna starta bilen från Apple Watch.

Jag pratar om sajter som https://www.teslaapi.io/ där API:t (så mycket som de har upptäckt) finns specat. Det är alltså inte officiellt, inte godkänt av Tesla att *någon* annan använder det. Eller *vet* du att någon annan app använder API:t med Teslas goda minne?

Och visst, man använder en token för att göra anrop, det är lixom så man gör när man specar ett dylikt web-API. Men det förutsätter att man får tag i denna token på nåt sätt och det sättet är att man loggar in med namn o lösen. Du kan inte säga att 3e-partsappen inte behöver namn o lösen eftersom den använder token. Man *får* en token genom att logga in med namn o lösen!

Och hur *vet* du förresten att apparna *inte* sparar namn o lösen? Har du läst deras källkod? Det är det du behöver göra för att *veta*.

Ju mer jag får veta om det här, ju säkrare blir jag att det är via Tesla-konto som bilarna stulits, och ju säkrare blir jag på att slippa få min bil stulen eftersom jag aldrig kommer ange mitt Tesla-konto till någon annan än Tesla.

[EnTraktor]

Låt oss sammanfatta dom olika sätta en Tesla kan stjälas på och sannolikheten för dom olika scenariorna.

Alt 1 - Inbrott / tjuvkoppling / lasta på lastbil

Alla Tesla är utrustande med larm som är på som standard. Larmet ska triggas även om bilen lyfts/tiltas (flera Teslaägare har fått sina larm utlösta på färjor). Larmet är känsligt och kan larma för en fluga. Även om nån skulle krossa en ruta eller bryta upp en dörr så ska en Tesla inte gå att tjuvkoppla/starta. Det är även ganska osannolikt att 3 bilar lastats på lastbilar utan att varken larmet gått eller någon sett något.

Jag skulle säga att sannolikheten för alt 1 är under 10%


Alt 2 - Räckviddsförlängare

Med en liten antenn kan tjuvar förlänga räckvidden av bilens fjärrkontroll och öppna bilen om passiv entry är "på". Här har Modell S fjärr sämst säkerhet och är enklast att lura. Modell X ska vara mycket säkrare och kräva mycket mer avancerad utrustning för att göra samma sak med. När man väl kommit in i bilen så måste pin-to-drive vara "av" för att lyckats starta och köra iväg bilen. Jag skulle säga att det är ganska låg chans att 3 bilar haft passiv entry "på", pin-to-drive "av" samt att tjuvarna haft utrustning för att ge sig på en Modell X. Om tjuvar haft utrustning för Modell X så "borde" dom fokuserat mer på stjäla Modell X.


Jag skulle säga att sannolikheten för alt 2 är under 25%


Alt 3 - Tesla konto / App

Om man har login och lösenord till en bilägares Teslakonto så kan man logga in i appen, öppna bilen och starta bilen, även om passiv entry är "av" samt om pin-to-drive är "på". Med fulla kontouppgifter kommer man runt alla skydd som bilen har. Jag har ingen aning hur tjuvarna skulle kunna ha kommit över bilägarnas kontouppgifterna men det finns ganska många alternativ, t.ex.
* Bilanvändarna haft samma email/lösenord till nån annan sajt/tjänst som blivit hackad.
* Tjuvarna har kommit över kontouppgifterna via nått öppet WiFi och avlyssnat datatrafiken.
* Tjuvarna har kommit över kontouppgifterna genom nån falsk inloggningssajt som bilägarna har matat in sina kontouppgifter på.
* Nån 3:e parts Tesla app som på nått sätt brustit i säkerheten så att kontouppgifterna har kommit ut.

Jag skulle säga att sannolikheten för alt 3 är över 80%


Om alt 3 verkligen är tillvägagångssättet så hjälper inga plåtburkar, passiv entry eller pin-to-drive. Just nu begås rekordmycket IT relaterad brott och ett lösenord till en mailadress är kanske värt några tior. Ett VISA-kort nummer är värt några hundralappar. Kontouppgifter till ett Teslakonto kan vara värda nästan 1 miljon. Så mitt tips är
* Se till att ha ett långt och svårt lösenord till ditt Tesla konto - nej "Tesla123" är varken bra, långt eller säkert.
* Se till att ha ett UNIKT lösenord till ditt Tesla konto.
* Se till att inte lämna ut ditt Tesla lösenord på några andra sajter. Aldrig och utan undantag. Även om sajter/tjänsten har rent mjöl i påsen så kan nån avlyssna all trafik på servern eller hacka uppgifterna på nått annat sätt.
* Byt lösenordet med jämna mellanrum.
* I den mån det är möjligt undvik att använda öppna WiFi nät.
* Kräv att Tesla skaffar Tvåfaktorautentisering så snart som möjligt - https://sv.wikipedia.org/wiki/Multifaktorautentisering

[dhogborg]

Jag pratar om sajter som https://www.teslaapi.io/ där API:t (så mycket som de har upptäckt) finns specat. Det är alltså inte officiellt, inte godkänt av Tesla att *någon* annan använder det. Eller *vet* du att någon annan app använder API:t med Teslas goda minne?

Och visst, man använder en token för att göra anrop, det är lixom så man gör när man specar ett dylikt web-API. Men det förutsätter att man får tag i denna token på nåt sätt och det sättet är att man loggar in med namn o lösen. Du kan inte säga att 3e-partsappen inte behöver namn o lösen eftersom den använder token. Man *får* en token genom att logga in med namn o lösen!

Och hur *vet* du förresten att apparna *inte* sparar namn o lösen? Har du läst deras källkod? Det är det du behöver göra för att *veta*.

Ju mer jag får veta om det här, ju säkrare blir jag att det är via Tesla-konto som bilarna stulits, och ju säkrare blir jag på att slippa få min bil stulen eftersom jag aldrig kommer ange mitt Tesla-konto till någon annan än Tesla.

Skapa ditt token genom att skicka en request direkt till Teslas API:

Kod: Markera allt

POST: https://owner-api.teslamotors.com/oauth/token
{
	"grant_type": "password",
	"client_id": "e4a9949fcfa04068f59abb5a658f2bac0a3428e4652315490b659d5ab3f35a9e",
	"client_secret": "c75f14bbadc8bee3a7594412c31416f8300256d7668ea7e6e7f06727bfb9d220",
	"email": "d..@g..com",
	"password": "..."
}

Gör det från ditt CLI med curl, wget eller någon annan app så har ingen annan än du lösenordet, men du har skapat ett token som man kan klistra in på tredjepartstjänst.

[Xmag]

Låt oss sammanfatta dom olika sätta en Tesla kan stjälas på och sannolikheten för dom olika scenariorna.

Alt 1 - Inbrott / tjuvkoppling / lasta på lastbil

Alla Tesla är utrustande med larm som är på som standard. Larmet ska triggas även om bilen lyfts/tiltas (flera Teslaägare har fått sina larm utlösta på färjor). Larmet är känsligt och kan larma för en fluga. Även om nån skulle krossa en ruta eller bryta upp en dörr så ska en Tesla inte gå att tjuvkoppla/starta. Det är även ganska osannolikt att 3 bilar lastats på lastbilar utan att varken larmet gått eller någon sett något.

Jag skulle säga att sannolikheten för alt 1 är under 10%


Alt 2 - Räckviddsförlängare

Med en liten antenn kan tjuvar förlänga räckvidden av bilens fjärrkontroll och öppna bilen om passiv entry är på. Här har Modell S fjärr sämst säkerhet och är enklast att lura. Modell X ska vara mycket säkrare och kräva mycket mer avancerad utrustning för att göra samma sak med. När man väl kommit in i bilen så måste pin-to-drive vara av för att lyckats starta och köra iväg bilen. Jag skulle säga att det är ganska låg chans att 3 bilar haft passiv entry "på", pin-to-drive "av" samt att tjuvarna haft utrustning för att ge sig på en Modell X. Om tjuvar haft utrustning för Modell X så "borde" dom fokuserat mer på stjäla Modell X.


Jag skulle säga att sannolikheten för alt 2 är under 25%


Alt 3 - Tesla konto / App

Om man har login och lösenord till en bilägares Teslakonto så kan man logga in i appen, öppna bilen och starta bilen, även om passiv entry är "på" samt om pin-to-drive är "på". Med fulla kontouppgifter kommer man runt alla skydd som bilen har. Jag har ingen aning hur tjuvarna skulle kunna ha kommit över bilägarnas kontouppgifterna men det finns ganska många alternativ, t.ex.
* Bilanvändarna haft samma email/lösenord till nån annan sajt/tjänst som blivit hackad.
* Tjuvarna har kommit över kontouppgifterna via nått öppet WiFi och avlyssnat datatrafiken.
* Tjuvarna har kommit över kontouppgifterna genom nån falsk inloggningssajt som bilägarna har matat in sina kontouppgifter på.
* Nån 3:e parts Tesla app som på nått sätt brustit i säkerheten så att kontouppgifterna har kommit ut.

Jag skulle säga att sannolikheten för alt 3 är över 80%


Om alt 3 verkligen är tillvägagångssättet så hjälper inga plåtburkar, passiv entry eller pin-to-drive. Just nu begås rekordmycket IT relaterad brott och ett lösenord till en mailadress är kanske värt några tior. Ett VISA-kort nummer är värt några hundralappar. Kontouppgifter till ett Teslakonto kan vara värda nästan 1 miljon. Så mitt tips är
* Se till att ha ett långt och svårt lösenord till ditt Tesla konto - nej "Tesla123" är varken bra, långt eller säkert.
* Se till att ha ett UNIKT lösenord till ditt Tesla konto.
* Se till att inte lämna ut ditt Tesla lösenord på några andra sajter. Aldrig och utan undantag. Även om sajter/tjänsten har rent mjöl i påsen så kan nån avlyssna all trafik på servern eller hacka uppgifterna på nått annat sätt.
* Byt lösenordet med jämna mellanrum.
* I den mån det är möjligt undvik att använda öppna WiFi nät.
* Kräv att Tesla skaffar Tvåfaktorautentisering så snart som möjligt - https://sv.wikipedia.org/wiki/Multifaktorautentisering

För alternativ 2 så bör man ha testad dels att låsa upp bilen med räckviddsförlängare och sedan gått in i bilen och testat om de har pin avaktiverat. De borde ha fått stryka runt och testa ganska många med förlängaren och sen ännu fler som inte har pin aktiverat. Vilket några tesla ägare borde ha fått med på sentrymode filmen alternativt noterat att någon varit i bilen och snott USBn...Anledningen till att nån Model 3 inte stulits är antagligen bristen på krockade Model 3 som de kan ta identiteten från. I så fall är det bara en tidsfråga eftersom det också går att stjäla dem via appen.

[LarsL]

Skapa ditt token genom att skicka en request direkt till Teslas API:

Kod: Markera allt

POST: https://owner-api.teslamotors.com/oauth/token
{
	"grant_type": "password",
	"client_id": "e4a9949fcfa04068f59abb5a658f2bac0a3428e4652315490b659d5ab3f35a9e",
	"client_secret": "c75f14bbadc8bee3a7594412c31416f8300256d7668ea7e6e7f06727bfb9d220",
	"email": "d..@g..com",
	"password": "..."
}

Gör det från ditt CLI med curl, wget eller någon annan app så har ingen annan än du lösenordet, men du har skapat ett token som man kan klistra in på tredjepartstjänst.

Detta är ju något som bara väldigt datakunniga/intresserade skulle ge sig på att göra. De flesta kommer att knappa in sitt lösenord.

[renes]

nledningen till att nån Model 3 inte stals är antagligen bristen på krockade Model 3 som de kan ta identiteten från. I så fall är det bara en tidsfråga.

Det där får du gärna förklara. Behöver man identiteten från en Model 3 för att använda räckviddsförlängare på en annan Model 3?

[LarsL]

nledningen till att nån Model 3 inte stals är antagligen bristen på krockade Model 3 som de kan ta identiteten från. I så fall är det bara en tidsfråga.

Det där får du gärna förklara. Behöver man identiteten från en Model 3 för att använda räckviddsförlängare på en annan Model 3?

De stulna bilarna används för att ”reparera” krockskadade bilar.
Men jag tror inte att det är bristen på bilar som gör det utan summorna, det är mindre lönsamt att stjäla en Model 3 helt enkelt.

[GreenMachine]

Låt oss sammanfatta dom olika sätta en Tesla kan stjälas på och sannolikheten för dom olika scenariorna.

Alt 1 - Inbrott / tjuvkoppling / lasta på lastbil

Alla Tesla är utrustande med larm som är på som standard. Larmet ska triggas även om bilen lyfts/tiltas (flera Teslaägare har fått sina larm utlösta på färjor). Larmet är känsligt och kan larma för en fluga. Även om nån skulle krossa en ruta eller bryta upp en dörr så ska en Tesla inte gå att tjuvkoppla/starta. Det är även ganska osannolikt att 3 bilar lastats på lastbilar utan att varken larmet gått eller någon sett något.

Jag skulle säga att sannolikheten för alt 1 är under 10%


Alt 2 - Räckviddsförlängare

Med en liten antenn kan tjuvar förlänga räckvidden av bilens fjärrkontroll och öppna bilen om passiv entry är "på". Här har Modell S fjärr sämst säkerhet och är enklast att lura. Modell X ska vara mycket säkrare och kräva mycket mer avancerad utrustning för att göra samma sak med. När man väl kommit in i bilen så måste pin-to-drive vara "av" för att lyckats starta och köra iväg bilen. Jag skulle säga att det är ganska låg chans att 3 bilar haft passiv entry "på", pin-to-drive "av" samt att tjuvarna haft utrustning för att ge sig på en Modell X. Om tjuvar haft utrustning för Modell X så "borde" dom fokuserat mer på stjäla Modell X.


Jag skulle säga att sannolikheten för alt 2 är under 25%


Alt 3 - Tesla konto / App

Om man har login och lösenord till en bilägares Teslakonto så kan man logga in i appen, öppna bilen och starta bilen, även om passiv entry är "av" samt om pin-to-drive är "på". Med fulla kontouppgifter kommer man runt alla skydd som bilen har. Jag har ingen aning hur tjuvarna skulle kunna ha kommit över bilägarnas kontouppgifterna men det finns ganska många alternativ, t.ex.
* Bilanvändarna haft samma email/lösenord till nån annan sajt/tjänst som blivit hackad.
* Tjuvarna har kommit över kontouppgifterna via nått öppet WiFi och avlyssnat datatrafiken.
* Tjuvarna har kommit över kontouppgifterna genom nån falsk inloggningssajt som bilägarna har matat in sina kontouppgifter på.
* Nån 3:e parts Tesla app som på nått sätt brustit i säkerheten så att kontouppgifterna har kommit ut.

Jag skulle säga att sannolikheten för alt 3 är över 80%


Om alt 3 verkligen är tillvägagångssättet så hjälper inga plåtburkar, passiv entry eller pin-to-drive. Just nu begås rekordmycket IT relaterad brott och ett lösenord till en mailadress är kanske värt några tior. Ett VISA-kort nummer är värt några hundralappar. Kontouppgifter till ett Teslakonto kan vara värda nästan 1 miljon. Så mitt tips är
* Se till att ha ett långt och svårt lösenord till ditt Tesla konto - nej "Tesla123" är varken bra, långt eller säkert.
* Se till att ha ett UNIKT lösenord till ditt Tesla konto.
* Se till att inte lämna ut ditt Tesla lösenord på några andra sajter. Aldrig och utan undantag. Även om sajter/tjänsten har rent mjöl i påsen så kan nån avlyssna all trafik på servern eller hacka uppgifterna på nått annat sätt.
* Byt lösenordet med jämna mellanrum.
* I den mån det är möjligt undvik att använda öppna WiFi nät.
* Kräv att Tesla skaffar Tvåfaktorautentisering så snart som möjligt - https://sv.wikipedia.org/wiki/Multifaktorautentisering

Leif G.W hade nog snarare sagt att - Om man tittar på den här typen av brott, så utförs dessa till 99,9% på det sätt som just beskrivs i Alternativ 1 & 2, så att det därmed i just dessa fall skulle ha skett på något annat sätt förefaller med andra ord hur man än väljer och se det, som högts osannolikt alltså. Men visst (he he), omöjligt är det ju inte.

Många spekulationer här utan några som helst fakta.

[evilirish]

Alternativ 1b borde vara att de lyckats klona en fob. Någon som får tillgång till foben när bilen är på rekond/foliering/däckbyt/etc eller tyst inbrott medans ena foben ligger kvar i hemmet. Sen är det bara att låsa upp vid valfritt tillfälle en tid senare och köra iväg.

[oscfor]

Låt oss sammanfatta dom olika sätta en Tesla kan stjälas på och sannolikheten för dom olika scenariorna.

Alt 1 - Inbrott / tjuvkoppling / lasta på lastbil

Alla Tesla är utrustande med larm som är på som standard. Larmet ska triggas även om bilen lyfts/tiltas (flera Teslaägare har fått sina larm utlösta på färjor). Larmet är känsligt och kan larma för en fluga. Även om nån skulle krossa en ruta eller bryta upp en dörr så ska en Tesla inte gå att tjuvkoppla/starta. Det är även ganska osannolikt att 3 bilar lastats på lastbilar utan att varken larmet gått eller någon sett något.

Jag skulle säga att sannolikheten för alt 1 är under 10%


Alt 2 - Räckviddsförlängare

Med en liten antenn kan tjuvar förlänga räckvidden av bilens fjärrkontroll och öppna bilen om passiv entry är "på". Här har Modell S fjärr sämst säkerhet och är enklast att lura. Modell X ska vara mycket säkrare och kräva mycket mer avancerad utrustning för att göra samma sak med. När man väl kommit in i bilen så måste pin-to-drive vara "av" för att lyckats starta och köra iväg bilen. Jag skulle säga att det är ganska låg chans att 3 bilar haft passiv entry "på", pin-to-drive "av" samt att tjuvarna haft utrustning för att ge sig på en Modell X. Om tjuvar haft utrustning för Modell X så "borde" dom fokuserat mer på stjäla Modell X.


Jag skulle säga att sannolikheten för alt 2 är under 25%


Alt 3 - Tesla konto / App

Om man har login och lösenord till en bilägares Teslakonto så kan man logga in i appen, öppna bilen och starta bilen, även om passiv entry är "av" samt om pin-to-drive är "på". Med fulla kontouppgifter kommer man runt alla skydd som bilen har. Jag har ingen aning hur tjuvarna skulle kunna ha kommit över bilägarnas kontouppgifterna men det finns ganska många alternativ, t.ex.
* Bilanvändarna haft samma email/lösenord till nån annan sajt/tjänst som blivit hackad.
* Tjuvarna har kommit över kontouppgifterna via nått öppet WiFi och avlyssnat datatrafiken.
* Tjuvarna har kommit över kontouppgifterna genom nån falsk inloggningssajt som bilägarna har matat in sina kontouppgifter på.
* Nån 3:e parts Tesla app som på nått sätt brustit i säkerheten så att kontouppgifterna har kommit ut.

Jag skulle säga att sannolikheten för alt 3 är över 80%


Om alt 3 verkligen är tillvägagångssättet så hjälper inga plåtburkar, passiv entry eller pin-to-drive. Just nu begås rekordmycket IT relaterad brott och ett lösenord till en mailadress är kanske värt några tior. Ett VISA-kort nummer är värt några hundralappar. Kontouppgifter till ett Teslakonto kan vara värda nästan 1 miljon. Så mitt tips är
* Se till att ha ett långt och svårt lösenord till ditt Tesla konto - nej "Tesla123" är varken bra, långt eller säkert.
* Se till att ha ett UNIKT lösenord till ditt Tesla konto.
* Se till att inte lämna ut ditt Tesla lösenord på några andra sajter. Aldrig och utan undantag. Även om sajter/tjänsten har rent mjöl i påsen så kan nån avlyssna all trafik på servern eller hacka uppgifterna på nått annat sätt.
* Byt lösenordet med jämna mellanrum.
* I den mån det är möjligt undvik att använda öppna WiFi nät.
* Kräv att Tesla skaffar Tvåfaktorautentisering så snart som möjligt - https://sv.wikipedia.org/wiki/Multifaktorautentisering

Leif G.W hade nog snarare sagt att - Om man tittar på den här typen av brott, så utförs dessa till 99,9% på det sätt som just beskrivs i Alternativ 1 & 2, så att det därmed i just dessa fall skulle ha skett på något annat sätt förefaller med andra ord hur man än väljer och se det, som högts osannolikt alltså. Men visst (he he), omöjligt är det ju inte.

Många spekulationer här utan några som helst fakta.

Äntligen någon som resonerar förnuftigt!

[EnTraktor]

Alternativ 1b borde vara att de lyckats klona en fob. Någon som får tillgång till foben när bilen är på rekond/foliering/däckbyt/etc eller tyst inbrott medans ena foben ligger kvar i hemmet. Sen är det bara att låsa upp vid valfritt tillfälle en tid senare och köra iväg.

Att klona en for är väldigt svårt
Det finns vad jag vet inga kända fall av klonade Tesla fobbar
2 olika Teslamodeller med helt olika fobbar har stulits. Hade nån lyckats klona en fob så hade man gett sig på en typ av fob till att börja med, inte 2 olika.
En klonad fob kommer inte runt pin-to-drive

Så jag personligen säger att klonad fob är osannolikt.

[dhogborg]

Alternativ 1b borde vara att de lyckats klona en fob. Någon som får tillgång till foben när bilen är på rekond/foliering/däckbyt/etc eller tyst inbrott medans ena foben ligger kvar i hemmet. Sen är det bara att låsa upp vid valfritt tillfälle en tid senare och köra iväg.

Att klona en for är väldigt svårt
Det finns vad jag vet inga kända fall av klonade Tesla fobbar
2 olika Teslamodeller med helt olika fobbar har stulits. Hade nån lyckats klona en fob så hade man gett sig på en typ av fob till att börja med, inte 2 olika.
En klonad fob kommer inte runt pin-to-drive

Så jag personligen säger att klonad fob är osannolikt.

Tyvärr en känd svaghet med Teslas nycklar. Svagt crypto gör dem enkla att kopiera. Nyare nycklar ska vara fixade dock.

https://www.wired.com/story/hackers-ste ... s-key-fob/

[EnTraktor]

Låt oss sammanfatta dom olika sätta en Tesla kan stjälas på och sannolikheten för dom olika scenariorna.

Alt 1 - Inbrott / tjuvkoppling / lasta på lastbil

Alla Tesla är utrustande med larm som är på som standard. Larmet ska triggas även om bilen lyfts/tiltas (flera Teslaägare har fått sina larm utlösta på färjor). Larmet är känsligt och kan larma för en fluga. Även om nån skulle krossa en ruta eller bryta upp en dörr så ska en Tesla inte gå att tjuvkoppla/starta. Det är även ganska osannolikt att 3 bilar lastats på lastbilar utan att varken larmet gått eller någon sett något.

Jag skulle säga att sannolikheten för alt 1 är under 10%


Alt 2 - Räckviddsförlängare

Med en liten antenn kan tjuvar förlänga räckvidden av bilens fjärrkontroll och öppna bilen om passiv entry är "på". Här har Modell S fjärr sämst säkerhet och är enklast att lura. Modell X ska vara mycket säkrare och kräva mycket mer avancerad utrustning för att göra samma sak med. När man väl kommit in i bilen så måste pin-to-drive vara "av" för att lyckats starta och köra iväg bilen. Jag skulle säga att det är ganska låg chans att 3 bilar haft passiv entry "på", pin-to-drive "av" samt att tjuvarna haft utrustning för att ge sig på en Modell X. Om tjuvar haft utrustning för Modell X så "borde" dom fokuserat mer på stjäla Modell X.


Jag skulle säga att sannolikheten för alt 2 är under 25%


Alt 3 - Tesla konto / App

Om man har login och lösenord till en bilägares Teslakonto så kan man logga in i appen, öppna bilen och starta bilen, även om passiv entry är "av" samt om pin-to-drive är "på". Med fulla kontouppgifter kommer man runt alla skydd som bilen har. Jag har ingen aning hur tjuvarna skulle kunna ha kommit över bilägarnas kontouppgifterna men det finns ganska många alternativ, t.ex.
* Bilanvändarna haft samma email/lösenord till nån annan sajt/tjänst som blivit hackad.
* Tjuvarna har kommit över kontouppgifterna via nått öppet WiFi och avlyssnat datatrafiken.
* Tjuvarna har kommit över kontouppgifterna genom nån falsk inloggningssajt som bilägarna har matat in sina kontouppgifter på.
* Nån 3:e parts Tesla app som på nått sätt brustit i säkerheten så att kontouppgifterna har kommit ut.

Jag skulle säga att sannolikheten för alt 3 är över 80%


Om alt 3 verkligen är tillvägagångssättet så hjälper inga plåtburkar, passiv entry eller pin-to-drive. Just nu begås rekordmycket IT relaterad brott och ett lösenord till en mailadress är kanske värt några tior. Ett VISA-kort nummer är värt några hundralappar. Kontouppgifter till ett Teslakonto kan vara värda nästan 1 miljon. Så mitt tips är
* Se till att ha ett långt och svårt lösenord till ditt Tesla konto - nej "Tesla123" är varken bra, långt eller säkert.
* Se till att ha ett UNIKT lösenord till ditt Tesla konto.
* Se till att inte lämna ut ditt Tesla lösenord på några andra sajter. Aldrig och utan undantag. Även om sajter/tjänsten har rent mjöl i påsen så kan nån avlyssna all trafik på servern eller hacka uppgifterna på nått annat sätt.
* Byt lösenordet med jämna mellanrum.
* I den mån det är möjligt undvik att använda öppna WiFi nät.
* Kräv att Tesla skaffar Tvåfaktorautentisering så snart som möjligt - https://sv.wikipedia.org/wiki/Multifaktorautentisering

Leif G.W hade nog snarare sagt att - Om man tittar på den här typen av brott, så utförs dessa till 99,9% på det sätt som just beskrivs i Alternativ 1 & 2, så att det därmed i just dessa fall skulle ha skett på något annat sätt förefaller med andra ord hur man än väljer och se det, som högts osannolikt alltså. Men visst (he he), omöjligt är det ju inte.

Många spekulationer här utan några som helst fakta.

Jag skulle säga att mitt inlägg är till 100% baserat på fakta, till skillnad från ditt inlägg som är en ren spekulation av vad GW hade sagt. I detta fall är GW's åsikt för övrigt inte helt relevant.
En Tesla är en dator på hjul, en uppkopplad dator dessutom. Så stöld av Tesla kan klassas som klassisk bilstöld men även som IT brott.
Med full respekt för GW och hans kunskap om brott så måste jag säga att du missar en sak och det är att vi pratar troligen inte om en klassisk bilstöld i grunden utan om ett IT brott som lett till att kontouppgifter används för att köra iväg med bilen.
För 10-20-30 år sedan stod bank, post och butiksrån på vardagsmenyn och då visste GW allt om brotten. Idag har all denna verksamhet flyttat ut på nätet och blivit IT brott istället, vilket inte är GW's kompetensområde.
Men den enorma volymen IT brott som vi har i samhället idag så är alt 3 mycket enklare och mycket mer troligt. Om folk blir av med pengar från internetbanker som är MYCKET svårare att logga in på än ett Teslakonto, varför tror man då att Teslakontot skulle vara säkert på nått sätt?
Folks generella IT kompetens är ganska låg och säkerhetstänket i många fall uselt. Jag hävdar t.ex. att mer än hälften av Teslaägarna (observera att jag menar Teslaägarna generellt, inte skribenterna i denna tråd) inte har ett unikt lösenord till sitt Teslakonto.
Varför hålla på och krångla med fobbar eller räckviddsförlängare om man kan stjäla bilen med en app och 20 knapptryck?

[EnTraktor]

Alternativ 1b borde vara att de lyckats klona en fob. Någon som får tillgång till foben när bilen är på rekond/foliering/däckbyt/etc eller tyst inbrott medans ena foben ligger kvar i hemmet. Sen är det bara att låsa upp vid valfritt tillfälle en tid senare och köra iväg.

Att klona en for är väldigt svårt
Det finns vad jag vet inga kända fall av klonade Tesla fobbar
2 olika Teslamodeller med helt olika fobbar har stulits. Hade nån lyckats klona en fob så hade man gett sig på en typ av fob till att börja med, inte 2 olika.
En klonad fob kommer inte runt pin-to-drive

Så jag personligen säger att klonad fob är osannolikt.

Tyvärr en känd svaghet med Teslas nycklar. Svagt crypto gör dem enkla att kopiera. Nyare nycklar ska vara fixade dock.

https://www.wired.com/story/hackers-ste ... s-key-fob/

Som sagt,

* det finns inga kända fall av Teslabilar som stulits med klonade fobbar
* 2 olika bilmodeller med olika fobbar har drabbats
* det är nya bilar som stulits
* klonad fob kommer inte runt pin-to-drive

[McMagnus]

En stilla önskan bara: Om nån nu vill tycka nåt annat, kan hen då argumentera mot EnTraktors mycket utförliga och välgrundade argument? Den som säger att det bara är lösa spekulationer har uppenbarligen inte förstått vad han skrivit. Vi vet tvärtom rätt mycket om vilka attackvektorer som inte *kan* ha använts, vilka som är mycket svåra och sen vilka som är kvar.

[kikat]

Ett alternativ för att hyfsat enkelt stjäla Teslor är att köra till en välbesökt SuC och parkera en bil i närheten, sätta upp en trådlös accesspunkt med namnet "Tesla Supercharger Free Wifi" eller liknande. För att använda wifit så skulle man komma till en captive portal där man var tvungen att ange sina kontouppgifter till Tesla-kontot. Alla kontouppgifter som skrivs in lagras på en lokal server. Självklart skulle inloggningssidan vara i stil med Teslas design, captive portalen varit SSL-krypterad med eget cert och nätet skulle verkligen fungera efter man loggat in för att minska misstänksamheten.
Man kan därefter ha en egen liga som utför stölderna eller sälja kontouppgifterna till någon som utför jobbet.
Man får långt ifrån alla bilar med detta tillvägagångssätt men om man ställer bilen en hel dag så lär man få en handfull lista med kontouppgifter till bilar.

Ett annat alternativ är att hämta ner listor över stulna inloggningsuppgifter. Det finns särskilda forum där man kan ladda ner såna listor. Köra ett skript som kollar alla inloggningar mot Tesla mot förhoppningen att någon använt samma inloggningsuppgifter som på en hackad site. Detta kräver att man köper (om man inte redan har tillgång till det) ett nätverk med virusinfekterade datorer så att man inte testar inloggningsuppgifter från samma ip för det lär Tesla blockera fort.

Alternativet med att förlänga en keyfob som många kör med ser jag som krångligare och större risk än de jag nämner ovan, eftersom man inte kan vara säker på att signalen finns (passive entry kan vara av, nyckeln kan vara i plåtburk, finnas för långt bort från ytterdörr), man vet inte om där finns en pin-to-drive förrän man kommit in i bilen och man kan inte se var bilen finns utan att fysiskt behöva köra runt och leta efter den.
Med tillvägagångssättet med kontouppgifter kan man i lugn och ro på en parkering långt bort från bilen kontrollera strax innan man slår till om kontot fortfarande fungerar och var bilen finns, om man ser i appen att bilen står i ett garage eller på ett annat krångligt ställe så är det bara att välja en annan bil. Nackdelen är väl att man bara kan stjäla Teslor eftersom inget annat bilmärke mig veterligen går att komma in och köra iväg med endast en e-postadress och ett enkelt lösenord.

Därför är det VIKTIGT att Tesla inför tvåstegsverifiering snarast som eliminerar detta problem!
Tesla kan även införa att man får ett mail/pushnotis när en ny enhet loggar in på Tesla-kontot så man har en chans att byta lösenord.
Förstår inte heller varför man ska kunna starta bilen med endast inloggningsuppgifterna.

[Henrik Torphammar]

Ljungby eller andra orter på landet är just på landet. Väldigt vanligt att nycklar sitter i bilen eller ligger precis innanför en olåst dörr.

Kanske bara tagit nyckeln och kört iväg på det gamla hederliga sättet

[larsw]

Hade det inte precis dykt upp en ny tredjeparts Tesla-app med två veckors gratis prövotid? Den kommer behöva lösenordet initialt, även om den hävdar att inget sparas...

[kikat]

Ljungby eller andra orter på landet är just på landet. Väldigt vanligt att nycklar sitter i bilen eller ligger precis innanför en olåst dörr.

Kanske bara tagit nyckeln och kört iväg på det gamla hederliga sättet

Ljungby är ju inte precis någon byhåla där alla känner alla. Bor ju ändå ~16000 i tätorten så jag har mycket svårt att tro att nyckeln låg i bilen eller att de inte låser sina ytterdörrar där, särskilt när stölderna skedde under natten. Om det är så tycker jag de bör nekas försäkringspengar p.g.a. försumlighet.

[Henrik Torphammar]

Ljungby eller andra orter på landet är just på landet. Väldigt vanligt att nycklar sitter i bilen eller ligger precis innanför en olåst dörr.

Kanske bara tagit nyckeln och kört iväg på det gamla hederliga sättet

Ljungby är ju inte precis någon byhåla där alla känner alla. Bor ju ändå ~16000 i tätorten så jag har mycket svårt att tro att nyckeln låg i bilen eller att de inte låser sina ytterdörrar där, särskilt när stölderna skedde under natten. Om det är så tycker jag de bör nekas försäkringspengar p.g.a. försumlighet.

Jag bor där, men vad vet jag....