Ännu en Tesla stöld i Ljungby, Småland, inatt 2019-08-09

[GreenMachine]

Fasligt många tycker som fokuserar på appen eller konton etc. och helt missar det mest mest klassiska, uppenbara och för tjuvarna enklaste sättet att stjäla bilar idag.

BMW, Porsche, RangeRover har inga appar eller konton och dom stjäls ju i parti och minut. Varför skulle Tesla vara annorlunda?

[renes]

Fasligt många tycker som fokuserar på appen eller konton etc. och helt missar det mest mest klassiska, uppenbara och för tjuvarna enklaste sättet att stjäla bilar idag.

BMW, Porsche, RangeRover har inga appar eller konton och dom stjäls ju i parti och minut. Varför skulle Tesla vara annorlunda?

Videon visar ju hur man missbrukar "passive entry" med en proxy. Så vitt jag kan påminna mig nämns tidigare i den här tråden att åtminstone en av de stulna bilarna hade "passive entry" disabled.

En tänkbar mekanism skulle vara en hack av typ Teslafi där man snott inloggningsdata när konton skapats, dvs redan innan API tokens skapats. Det skulle också förklara varför just nya bilar kunde stjälas eftersom dessa konton antagligen skapades nyligen.

Om, förstås, dessa bilar hade konton på Teslafi eller någon annan tredjeparts site, vilket vi ju inte vet.

[McMagnus]

Och jag tycker tvärtom det är märkligt att ni hittar på en massa komplicerade attackvektorer när den enklaste är att skaffa sig mail o lösen till appen. Faktum är att ni motbevisar er lite själva och verkar faktiskt vara lite naiva vad gäller IT-säkerhet. Jag har förstått att man normalt inte behöver logga in i appen varje gång man startar den, men att det säkert behövs ibland ändå. Steget till att uppge sitt inlogg på en sida som ser ut som appen men som egentligen är en webbsida utan att tycka det är märkligt tror jag inte är speciellt långt.

[Bejje]

Precis, eller snarare, har du access till ägarens Tesla-app så kan du koppla bort Pin2Drive. Jag har inte läst nåt som motsäger att det mest troliga är att de skaffat sig den accessen.

Hur kopplar du bort Pin 2 Drive från appen?

[McMagnus]

Hur kopplar du bort Pin 2 Drive från appen?

Vad jag läst kan man, istället för att knappa in PIN-koden för att starta bilen, logga in med kontoinlogg.

[LarsL]

Borde det inte framkommit vid det här laget om det finns en läcka i någon av tredje site?

Tills dess bör ju annars rekommendationen vara att aldrig ansluta till annat än Teslas egna app.

[renes]

Och jag tycker tvärtom det är märkligt att ni hittar på en massa komplicerade attackvektorer när den enklaste är att skaffa sig mail o lösen till appen. Faktum är att ni motbevisar er lite själva och verkar faktiskt vara lite naiva vad gäller IT-säkerhet. Jag har förstått att man normalt inte behöver logga in i appen varje gång man startar den, men att det säkert behövs ibland ändå. Steget till att uppge sitt inlogg på en sida som ser ut som appen men som egentligen är en webbsida utan att tycka det är märkligt tror jag inte är speciellt långt.

Går det att visa en webbsida på en iPhone (eller Android) utan något som helst krom från browsern runtom?

[renes]

Borde det inte framkommit vid det här laget om det finns en läcka i någon av tredje site?

Inte om det är en zero-day (per definition).

[McMagnus]

Går det att visa en webbsida på en iPhone (eller Android) utan något som helst krom från browsern runtom?

Det går ju att gå in i fullscreen mode, tror nog det går att göra utan användarens godkännande. Å andra sidan är det inte säkert det behövs, är man inte uppmärksam så trycker man in sina uppgifter.

[LarsL]

Borde det inte framkommit vid det här laget om det finns en läcka i någon av tredje site?

Inte om det är en zero-day (per definition).

Då ligger ju varningen att inte använda externa appar kvar och att byta lösenord om man tidigare loggat in på dessa.

[Henrik Torphammar]

Tusen inlägg... Framgår det hur bilarna stulits?

[Svenssons]

Tusen inlägg... Framgår det hur bilarna stulits?

1000? Snarare 112 inlägg.

[McMagnus]

Borde det inte framkommit vid det här laget om det finns en läcka i någon av tredje site?

Tills dess bör ju annars rekommendationen vara att aldrig ansluta till annat än Teslas egna app.

Jag vet inte om du frågar mig, men jag pratar alltså inte om en 3e-parts app. Du kan inte gå förbi Pin2Drive med en sån, för det behövs vad jag förstår mail och lösen till Tesla-kontot.

Och visst, om du är säker på att du använder Teslas app så är du säker, men hur kan du vara säker på det om det du ser på skärmen är förvillande likt Tesla-appen?

[oscfor]

Tusen inlägg... Framgår det hur bilarna stulits?

Nej, det är bara spekulationer.

Det vi vet är att en av bilarna uppges ha haft passive entry avslaget och att nycklarna inte stulits. I övrigt har vi ingen aning. Ägaren till den senaste stölden har en teori, som han inte berättar om
¯\_(ツ)_/¯

[LarsL]

Som jag förstår det använder du ditt Tesla lösenord och användarnamn när du lägger till bilen i Teslafi eller Abetterrouteplanner kanske finns fler.

[oscfor]

Som jag förstår det använder du ditt Tesla lösenord och användarnamn när du lägger till bilen i Teslafi eller Abetterrouteplanner kanske finns fler.

Du kan även använda en token. Den kan inte användas för att starta bilen. Ingen av apparna du nämner sparar lösenord.

[LarsL]

Tusen inlägg... Framgår det hur bilarna stulits?

Nej, det är bara spekulationer.

Det vi vet är att en av bilarna uppges ha haft passive entry avslaget och att nycklarna inte stulits. I övrigt har vi ingen aning. Ägaren till den senaste stölden har en teori, som han inte berättar om
¯\_(ツ)_/¯

Du vet alltså mer än vi andra om detta och det är därför du uppträtt lite konstigt.

[oscfor]

Tusen inlägg... Framgår det hur bilarna stulits?

Nej, det är bara spekulationer.

Det vi vet är att en av bilarna uppges ha haft passive entry avslaget och att nycklarna inte stulits. I övrigt har vi ingen aning. Ägaren till den senaste stölden har en teori, som han inte berättar om
¯\_(ツ)_/¯

Du vet alltså mer än vi andra om detta och det är därför du uppträtt lite konstigt.

Konstigt? Berätta gärna på vad sätt jag uppträtt konstigt. Det enda jag gjort är att jag bett dig undvika grundlösa spekulationer.

[McMagnus]

Som jag förstår det använder du ditt Tesla lösenord och användarnamn när du lägger till bilen i Teslafi eller Abetterrouteplanner kanske finns fler.

Men det är ju huvudlöst! Är du säker på att man måste göra det? Ärligt talat tror jag inte på det. Så dumma är inte Tesla.

[LarsL]

Tusen inlägg... Framgår det hur bilarna stulits?

Nej, det är bara spekulationer.

Det vi vet är att en av bilarna uppges ha haft passive entry avslaget och att nycklarna inte stulits. I övrigt har vi ingen aning. Ägaren till den senaste stölden har en teori, som han inte berättar om
¯\_(ツ)_/¯

Du vet alltså mer än vi andra om detta och det är därför du uppträtt lite konstigt.

Konstigt? Berätta gärna på vad sätt jag uppträtt konstigt. Det enda jag gjort är att jag bett dig undvika grundlösa spekulationer.

Du avvisade direkt den mest uppenbara metoden att stjäla en bil på idag, nämligen en genom att förstärka fob-signalerna. Inget som finns offentligt har ju talat emot detta. Men du har alltså annan informationsmöte kommer mer direkt från någon inblandad som du på något sätt tror motsäger att det är ett fob-hack som använts.

[oscfor]

Som jag förstår det använder du ditt Tesla lösenord och användarnamn när du lägger till bilen i Teslafi eller Abetterrouteplanner kanske finns fler.

Men det är ju huvudlöst! Är du säker på att man måste göra det? Ärligt talat tror jag inte på det. Så dumma är inte Tesla.

Om du läser mitt inlägg ser du att man inte behöver det.

[LarsL]

Som jag förstår det använder du ditt Tesla lösenord och användarnamn när du lägger till bilen i Teslafi eller Abetterrouteplanner kanske finns fler.

Men det är ju huvudlöst! Är du säker på att man måste göra det? Ärligt talat tror jag inte på det. Så dumma är inte Tesla.

Jodå, bägge siterna frågar efter Tesla lösenordet.

[oscfor]

Som jag förstår det använder du ditt Tesla lösenord och användarnamn när du lägger till bilen i Teslafi eller Abetterrouteplanner kanske finns fler.

Men det är ju huvudlöst! Är du säker på att man måste göra det? Ärligt talat tror jag inte på det. Så dumma är inte Tesla.

Jodå, bägge siterna frågar efter Tesla lösenordet.

Bra källa för att båda går att använda med token, om man är paranoid kring sitt lösenord!

[LarsL]

Fast paranoid är ju bara de som förstår att det är dumt att lämna ut lösenord. De flesta kommer säkert bara knappa in användarnamn och lösenord utan att fundera länge på det.

[McMagnus]

Aha, ok, det börjar klarna tror jag.

Teslas API är ju inte officiellt, eller hur? Utan det handlar om att folk har "bakåt-ingenjörat" API:t genom att analysera trafik från Tesla-appen. Jag har sett lite såna halvseriösa specar på nätet.

Tesla har alltså inte godkänt att andra använder deras API för att styra bilarna, men folk har gjort det ändå. Så när du och andra användare anger sitt Tesla-inlogg till dessa appar så anförtror ni alltså bilen till dem. Det handlar INTE om att 3e-parts-appar inte FÅR starta bilen, det handlar enbart om att de inte lyckats bakåtingenjöra de API-anropen än, eller att de helt enkelt valt att inte implementera dem i deras appar.

Jag skulle aldrig skriva in mitt Tesla-konto till en annan app, som dessutom säkert friskriver sig allt ansvar, eller?

Vad det *kan* handla om är alltså en 3e-parts-app som sen säljer inlogg, eller använder dem internt för att stjäla bilar. Det behöver inte vara nån av de kända apparna.