Bilar stjäls med nyckelprogrammering
Postat: 13 feb 2023 09:29
Hittade det här reportaget på youtube:
Det verkar skrämmande lätt att bryta upp låset på vissa nyare bilar och sedan programmera en ny nyckel via OBD-porten. Här är ett exempel för Hyundai Kona:
Det otäcka med detta är att det inte finns något sätt att skydda sig annat än att skaffa rattkrycka. Hjälper ju inte att lägga nycklarna i en plåtlåda om tjuvarna kan programmera en helt ny nyckel till bilen.
Här känns det som att Tesla ändå ligger före. För det första har de inget nyckelhål alls så det enda sättet att ta sig in utan nyckel är isåfall att slå sönder rutan. Tesla har också ett verktyg för diagnostik som heter Toolbox. Det kan också användas för att para nya nyckelkort, men skillnaden är att det är webbaserat och all mjukvara ligger i bilen. Toolbox är för övrigt tillgängligt för vem som helst på Teslas webbsida: https://service.tesla.com/service-subscription.
Men verktyget kräver inloggning på ett Tesla konto och för att kunna para nya nycklar till bilen så måste man vara Tesla-anställd. Visst skulle det kunna hända att någon kom över inloggningsuppgifterna för en Tesla-anställd så inget är ju 100 procent säkert, men programmeringsverktygen för andra tillverkare verkare inte kräva någon autentisering alls. Känns som att andra tillverkares säkerhet verkar bygga på "security by obscurity" (https://en.wikipedia.org/wiki/Security_ ... _obscurity) . Alltså att hela konceptet bygger på att sekvensen för att lägga till nya nycklar är hemlig. Det intressanta med Tesla är att protkollet för att lägga till nya nycklar via bluetooth numera är helt öppet: https://teslabtapi.lexnastin.com/. Men för att kunna lägga till en nyckel som användare behöver man ju ett existerande nyckelkort.
Även proceduren för att göra det via toolbox (som inte kräver ett befintligt nyckelkort) är via https så också helt öppen. Men för att kunna göra vissa procedurer så måste man ha rätt certifikat från Tesla: https://fn.lc/post/tesla-model-3/.
Jag tycker Tesla går rätt väg här och satsar på riktig autentisering och kryptering. Att bygga säkra system på "hemlig" programvara är ingen bra väg framåt.
Det verkar skrämmande lätt att bryta upp låset på vissa nyare bilar och sedan programmera en ny nyckel via OBD-porten. Här är ett exempel för Hyundai Kona:
Det otäcka med detta är att det inte finns något sätt att skydda sig annat än att skaffa rattkrycka. Hjälper ju inte att lägga nycklarna i en plåtlåda om tjuvarna kan programmera en helt ny nyckel till bilen.
Här känns det som att Tesla ändå ligger före. För det första har de inget nyckelhål alls så det enda sättet att ta sig in utan nyckel är isåfall att slå sönder rutan. Tesla har också ett verktyg för diagnostik som heter Toolbox. Det kan också användas för att para nya nyckelkort, men skillnaden är att det är webbaserat och all mjukvara ligger i bilen. Toolbox är för övrigt tillgängligt för vem som helst på Teslas webbsida: https://service.tesla.com/service-subscription.
Men verktyget kräver inloggning på ett Tesla konto och för att kunna para nya nycklar till bilen så måste man vara Tesla-anställd. Visst skulle det kunna hända att någon kom över inloggningsuppgifterna för en Tesla-anställd så inget är ju 100 procent säkert, men programmeringsverktygen för andra tillverkare verkare inte kräva någon autentisering alls. Känns som att andra tillverkares säkerhet verkar bygga på "security by obscurity" (https://en.wikipedia.org/wiki/Security_ ... _obscurity) . Alltså att hela konceptet bygger på att sekvensen för att lägga till nya nycklar är hemlig. Det intressanta med Tesla är att protkollet för att lägga till nya nycklar via bluetooth numera är helt öppet: https://teslabtapi.lexnastin.com/. Men för att kunna lägga till en nyckel som användare behöver man ju ett existerande nyckelkort.
Även proceduren för att göra det via toolbox (som inte kräver ett befintligt nyckelkort) är via https så också helt öppen. Men för att kunna göra vissa procedurer så måste man ha rätt certifikat från Tesla: https://fn.lc/post/tesla-model-3/.
Jag tycker Tesla går rätt väg här och satsar på riktig autentisering och kryptering. Att bygga säkra system på "hemlig" programvara är ingen bra väg framåt.