La Pobre autentificación en el REST API del Modelo S de Tesla, expone al automóvil eléctrico a una variedad de ataques que no son de seguridad relevante, pero no dejan de ser triviales de acuerdo con un técnico de Dell y propietario de un Tesla modelo S.
Ingeniero en Jefe y Director ejecutivo de informátia en la nube de DELL George Reese, dice que el protocolo de autentificación “defectuoso” en el REST API Tesla Modelo S “no tiene sentido”, en lugar de usar OAuth, Tesla ha decidido elaborar su propia autentificación.
Hay un pequeño consuelo para los propietarios del ‘modelo S de Tesla’, ninguna de las vulnerabilidades causa un tipo de problema de seguridad relevante en le vehículo, aunque espeluznantemente señala que el atacante podría ser capaz de ver por todas las rutas donde el automóvil va o ha ido.
Tesla, ha roto una de las reglas de oro de la seguridad, que dice “no volver a utilizar los identificadores de usuario y contraseñas para diferentes funciones”, en este caso, el correo electrónico y la contraseña que se utiliza para construir el automóvil en el sitio web de Tesla se mantienen más adelante para que los clientes puedan acceder al automóvil a través de la página web.
También hay un problema de persistencia cuando un usuario inicia sesión en el sitio web de Tesla para acceder a su automóvil se crea un token que tiene tres meses de duración, para los que no hay ningún mecanismo de revocación, si el sistema está comprometido, el atacante tendría acceso al inicio de sesión por tres meses y si “un atacante obtiene acceso a la base de datos de un sitio web de tokens autenticados”, entonces todos los automóviles serían visible para el atacante.
Mientras que el defecto no ofrece acceso a todos los aspectos “operacionales” del automóvil, como la dirección o los frenos, los riesgos siguen siendo importantes, un atacante podría engañar con un poco de ajustes de configuración, el control climático, el sunroof, abrir la maletera y cualquier otra cosa con el apoyo de la API, además de seguir los movimientos de los propietarios, “no es suficiente para hacer algún daño económico, en términos de exceso de consumo electrico habría un desgaste excesivo de las baterias”.
