Segundo alguns pesquisadores de segurança do NCC Group, já é possível roubar o Tesla Model 3 e Y usando apenas Bluetooth.
A tecnologia BLE é usada em uma ampla gama de produtos, desde eletrônicos como laptops, telefones celulares, fechaduras inteligentes e sistemas de controle de acesso de edifícios a carros como Tesla Model 3 e Model Y.
Agora, pesquisadores de segurança do NCC Group desenvolveram uma ferramenta para realizar um ataque de retransmissão Bluetooth Low Energy (BLE) que ignora todas as proteções existentes para autenticar nos dispositivos de destino.
Já é possível roubar o Tesla Model 3 e Y usando apenas Bluetooth
A implementação de correções para esse problema de segurança é complicada e, mesmo que a resposta seja imediata e coordenada, ainda levaria muito tempo para que as atualizações chegassem aos produtos afetados.
Nesse tipo de ataque de retransmissão, um adversário intercepta e pode manipular a comunicação entre duas partes, como o chaveiro que destrava e opera o carro e o próprio veículo.
Isso coloca o atacante no meio das duas extremidades da comunicação, permitindo que ele transmita o sinal como se estivesse ao lado do carro.
Os produtos que contam com BLE para autenticação baseada em proximidade protegem contra métodos conhecidos de ataque de retransmissão, introduzindo verificações baseadas em quantidades precisas de latência e também criptografia de camada de link.
O NCC Group desenvolveu uma ferramenta que opera na camada de enlace e com latência de 8ms que está dentro da faixa aceita de 30ms da resposta GATT (Generic ATTribute Profile).
Segundo o NCC Group:
“Como esse ataque de retransmissão opera na camada de link, ele pode encaminhar PDUs de camada de link criptografados. Ele também é capaz de detectar alterações criptografadas nos parâmetros de conexão (como intervalo de conexão, WinOffset, modo PHY e mapa de canais) e continuar a retransmitir conexões por meio de alterações de parâmetros. Assim, nem a criptografia da camada de link nem as alterações dos parâmetros de conexão criptografados são defesas contra esse tipo de ataque de retransmissão.”
De acordo com Sultan Qasim Khan, consultor sênior de segurança do NCC Group, leva cerca de dez segundos para executar o ataque e pode ser repetido indefinidamente.
Tanto o Tesla Model 3 quanto o Model Y usam um sistema de entrada baseado em BLE, então o ataque do NCC pode ser usado para desbloquear e ligar os carros.
Embora os detalhes técnicos por trás desse novo ataque de retransmissão BLE não tenham sido publicados, os pesquisadores dizem que testaram o método em um Tesla Model 3 de 2020 usando um iPhone 13 mini executando a versão 4.6.1-891 do aplicativo Tesla.
“O NCC Group foi capaz de usar esta ferramenta de ataque de retransmissão recém-desenvolvida para desbloquear e operar o veículo enquanto o iPhone estava fora do alcance BLE do veículo”
Durante o experimento, eles conseguiram entregar ao carro a comunicação do iPhone por meio de dois dispositivos de retransmissão, um colocado a sete metros de distância do telefone e o outro a três metros do carro. A distância entre o telefone e o carro era de 25 metros.
O experimento também foi replicado com sucesso em um Tesla Model Y a partir de 2021, pois usa tecnologias semelhantes. Abaixo está uma demonstração do ataque:
Essas descobertas foram relatadas à Tesla em 21 de abril. Uma semana depois, a empresa respondeu dizendo que “os ataques de retransmissão são uma limitação conhecida do sistema de entrada passiva”.
Os pesquisadores também notificaram a Spectrum Brands, a empresa-mãe por trás da Kwikset (fabricante da linha Kevo de fechaduras inteligentes).
A pesquisa do NCC Group sobre este novo ataque de proximidade está disponível em três avisos separados, para BLE em geral, um para carros Tesla e outro para fechaduras inteligentes Kwikset/Weiser, cada um ilustrando o problema nos dispositivos testados e como isso afeta um conjunto maior de produtos de outros fornecedores.
A Bluetooth Core Specification alerta os fabricantes de dispositivos sobre ataques de retransmissão e observa que a autenticação baseada em proximidade não deve ser usada para ativos valiosos.
Isso deixa os usuários com poucas possibilidades, sendo uma delas desativá-lo, se possível, e mudar para um método de autenticação alternativo que exija a interação do usuário.
Outra solução seria os fabricantes adotarem uma solução de limitação de distância, como a tecnologia de rádio UWB (banda ultralarga) em vez de Bluetooth.
Os proprietários de Tesla são incentivados a usar o recurso ‘PIN to Drive’, portanto, mesmo que o carro esteja desbloqueado, pelo menos o invasor não poderá fugir com ele.
Além disso, desabilitar a funcionalidade de entrada passiva no aplicativo móvel quando o telefone está parado impossibilitaria a execução do ataque de retransmissão.
Se nenhuma das opções acima for possível em seu dispositivo, lembre-se da possibilidade de ataques de retransmissão e implemente medidas de proteção adicionais de acordo.