Project TEMPA - Bluetooth PhoneKey tampering

Dieses Thema betrifft alle Model 3/Y und die neuen Model S/X 2021 Facelift.

Der Vortrag zeigt Angriffe auf das Bluetooth-basierte Sperr-System von Tesla.

Hier sind die Folien zu den verschiedenen Vorträgen:

Ich beantworte gerne Eure Fragen!

2 „Gefällt mir“

Moin, hat Tesla in seiner App immer noch keine der genannten Plausibilitätschecks implementiert, um Relay Angriffe zu erschweren?

Verfolgst du/ihr das?

Aus meiner Sicht würde eine Kombination aus GPS und Accelerometer schon reichen um ein annehmbares Sicherheitsniveau zu erreichen.

Tesla hat schon ein paar Plausibilitäts-Checks implementiert:

  • es wird betrachtet, ob sich das Smartphone kürzlich bewegt hat
    Allerdings scheint diese Information nur im Fahrzeug verarbeitet zu werden. Diese „Ich habe mich bewegt“-Nachricht wird vom Smartphone auch nur als UnsignedMessage versendet und kann von Angreifern ohne Kenntnis über cryptographische Keys injiziert werden.
  • die Reaktionszeit des Smartphones auf Anfragen des Fahrzeugs wird gemessen
    Gedacht als Gegenmaßnahme bei Relay-Angriffen ist das maximale Zeitinterval (200ms) etwas zu großzügig gewählt. Ich nehme an, dass das wegen älterer Geräte gemacht wird, die nicht so performant sind bzw. nach dem Aufwachen nicht so schnell antworten können.

Als Tesla-Fahrer und Verwender der offiziellen App und als Entwickler der TeskaKee app (https://www.teslakee.com/), die hoffentlich bald fertig wird, beobachte ich das natürlich schon.

Ich glaube, dass GPS einfach zu stromintensiv ist… und in Tiefgaragen klappt es auch nicht. Das soll nicht heißen, dass das keine gute Idee wäre - es ist nur etwas mehr Aufwand, den Tesla zu scheuen scheint.

1 „Gefällt mir“

Gerade für letzteren Ansatz (Performancetoleranz für eher langsame Smartphones) kann man ja mit Profiling und Benchmarking gegensteuern. Sprich: Die Tesla-App führt einen Benchmark auf dem Smartphone aus und bemisst somit die typische Reaktionszeit, teilt diese dann dem Wagen mit. Ist kein Zaubertrick und auch nicht kompliziert, sorgt aber schnell dafür, dass das ganze Relaying ins Leere läuft

1 „Gefällt mir“

Was das GPS angeht, andere Apps (Google Maps und Co.) zeichnen ein ziemlich lückenloses Bewegungsprofil auf, das geht vielleicht nicht mit 1Hz oder mehr, aber das OS stellt im Rahmen seines Energiemanagements schon genügend GPS Punkte zur Verfügung.

Tiefgaragen usw. sind natürlich ein Problem, aber man muss den Radius auch nicht auf wenige Meter stellen, es wäre ja zumindest schon mal was, wenn man sicherstellt dass beide zumindest in der selben Stadt sind :smile:

Deine App nutzt Erkenntnisse (oder sogar Code? Wenn ja hab ich den noch nicht gefunden, außer die Python API) von hier, oder?

Das VCSEC Protokoll wurde im Rahmen von Project TEMPA auch reverse engineered. Lex Nastin hat sich allerdings (unabhängig davon) die Mühe gemacht das Protokoll ebenfalls zu dokumentieren.

1 „Gefällt mir“

Auch eine coole Idee!

Ich habe keine Ahnung was Tesla sich so an Gedanken macht… eines ist allerdings klar:
Sie würden nichts tun, was die Verlässlichkeit Ihres innovativen/neuen Ansatzes auf die Probe stellt. Die Komplexität einer solchen Prozedur (Device-Profiling) hätte allerdings das Potential dazu :wink: