Tesla Club Sweden

Kanske finns en diskussion redan, tycker dock det visar att allt är inte helt 100% säkert och att man borde använda sig av pin2drive även om ngn lyckas låsa upp bilen genom nya blåtandshacket.

https://www.bleepingcomputer.com/news/s ... th-attack/

pp3 skrev:

Kanske finns en diskussion redan, tycker dock det visar att allt är inte helt 100% säkert och att man borde använda sig av pin2drive även om ngn lyckas låsa upp bilen genom nya blåtandshacket.

https://www.bleepingcomputer.com/news/s ... th-attack/

mmm.. japp.... jodå. Det går att göra rubriker av allt. Move along, nothing to see here.

På 1990-talet jobbade jag mycket med nätverkssäkerhet. En MITM-attack ska banne mig inte vara möjlig 2022, 30 år senare...

BLE för att låsa upp och köra bilar kanske inte är brilliant... Stäng av passive entry om ni använder telefon som nyckel.

Ett sätt kan ju vara att appen bara låser upp bilen om telefonen är i rörelse som den ju är när man går fram till bilen och som den inte är om den ligger inne.

spacecoin skrev:

På 1990-talet jobbade jag mycket med nätverkssäkerhet. En MITM-attack ska banne mig inte vara möjlig 2022, 30 år senare...

BLE för att låsa upp och köra bilar kanske inte är brilliant... Stäng av passive entry om ni använder telefon som nyckel.

Skulle misstänka att Bluetooth SIG kommer med framtida uppdateringar och förbättringar av BLE för att förhindra detta.

Men håller med om att det verkar rätt klent att de inte designat det bättre från början.

Fredrik j skrev:

Ett sätt kan ju vara att appen bara låser upp bilen om telefonen är i rörelse som den ju är när man går fram till bilen och som den inte är om den ligger inne.

Jag har telefonen i fickan inne också, d.v.s. den rör sig...

mikebike skrev:

Fredrik j skrev:

Ett sätt kan ju vara att appen bara låser upp bilen om telefonen är i rörelse som den ju är när man går fram till bilen och som den inte är om den ligger inne.

Jag har telefonen i fickan inne också, d.v.s. den rör sig...

Alla har väl olika behov. Ska det fungera får man ju lägga den ifrån sig. När du sover ligger den väl still ändå?

Fredrik j skrev:

mikebike skrev:

Fredrik j skrev:

Ett sätt kan ju vara att appen bara låser upp bilen om telefonen är i rörelse som den ju är när man går fram till bilen och som den inte är om den ligger inne.

Jag har telefonen i fickan inne också, d.v.s. den rör sig...

Alla har väl olika behov. Ska det fungera får man ju lägga den ifrån sig. När du sover ligger den väl still ändå?

Exakt. Tycker det ändå är en mycket bra idé som du kom med här!

spacecoin skrev:

På 1990-talet jobbade jag mycket med nätverkssäkerhet. En MITM-attack ska banne mig inte vara möjlig 2022, 30 år senare...

BLE för att låsa upp och köra bilar kanske inte är brilliant... Stäng av passive entry om ni använder telefon som nyckel.

Verkar tyvärr inte gå för M3 och MY. Om man stänger Tesla appen så borde väl inte nyckeln fungera dock. PIN to drive är nog bra att ha.
Funkade redan för The Transporter:

tesla newbie skrev:

spacecoin skrev:

På 1990-talet jobbade jag mycket med nätverkssäkerhet. En MITM-attack ska banne mig inte vara möjlig 2022, 30 år senare...

BLE för att låsa upp och köra bilar kanske inte är brilliant... Stäng av passive entry om ni använder telefon som nyckel.

Verkar tyvärr inte gå för M3 och MY. Om man stänger Tesla appen så borde väl inte nyckeln fungera dock. PIN to drive är nog bra att ha.
Funkade redan för The Transporter:

Enklast är väl att stänga av Bluetooth, det gäller bara att komma ihåg att slå på igen.

mikebike skrev:

tesla newbie skrev:

spacecoin skrev:

På 1990-talet jobbade jag mycket med nätverkssäkerhet. En MITM-attack ska banne mig inte vara möjlig 2022, 30 år senare...

BLE för att låsa upp och köra bilar kanske inte är brilliant... Stäng av passive entry om ni använder telefon som nyckel.

Verkar tyvärr inte gå för M3 och MY. Om man stänger Tesla appen så borde väl inte nyckeln fungera dock. PIN to drive är nog bra att ha.
Funkade redan för The Transporter:

Enklast är väl att stänga av Bluetooth, det gäller bara att komma ihåg att slå på igen.

Bluetooth i mobilen har ju tyvärr fler användningsområden än bara bilnyckel.. Vore bra om man bara kunde stänga av BLE. Men på natten kan man ju stänga av bluetooth.

tesla newbie skrev:

Men på natten kan man ju stänga av bluetooth.

Det går till och med att stänga av mobilen. Jo, jag vet att det kan kännas skrämmande, men vi gamlingar kommer ihåg en tid när mobilen inte var på dygnet runt!

themax skrev:

tesla newbie skrev:

Men på natten kan man ju stänga av bluetooth.

Det går till och med att stänga av mobilen. Jo, jag vet att det kan kännas skrämmande, men vi gamlingar kommer ihåg en tid när mobilen inte var på dygnet runt!

Jo jag är också tillräckligt gammal för att komma ihåg den tiden. Kommer till och med ihåg tiden när mobiler bars i en väska! Dock använder jag mobilen som väckarklocka så vill inte stänga av den på natten. Kör dock flygplansläge.

En bra artikel på Arstechnica.

https://arstechnica.com/information-tec ... r-devices/

bjelkeman skrev:

En bra artikel på Arstechnica.

https://arstechnica.com/information-tec ... r-devices/

Tack! Mycket bra artikel som rekommenderas alla som är intresserade av att veta mer kring detta.

martinot skrev:

bjelkeman skrev:

En bra artikel på Arstechnica.

https://arstechnica.com/information-tec ... r-devices/

Tack! Mycket bra artikel som rekommenderas alla som är intresserade av att veta mer kring detta.

Ja! Huvudet på spiken på slutet:

“This research demonstrates that Bluetooth Low Energy relay attacks are practical and effective against popular products and highlights the need for the industry to rethink the risk-to-convenience tradeoff for Bluetooth passive entry.”

Äh, om slutsatsen blir att BLE eller passive entry är olämpligt så snackar dom i nattmössan. Det är implementationen det är fel på och det finns massor beprövade tekniker för att lösa detta.

Curik skrev:

Äh, om slutsatsen blir att BLE eller passive entry är olämpligt så snackar dom i nattmössan. Det är implementationen det är fel på och det finns massor beprövade tekniker för att lösa detta.

Njae, tycker de var rätt balanserade:

This really is an important point. It is still significantly harder for the random thief to open a Tesla than an old car with a cylinder lock.

This kind of attack sort of requires that you are targeting the driver directly. If you have a legitimate worried about that kind of attack, I don’t think you would ever trust the interior of any car as being “secure” without some kind of custom system that requires more than just a lock. This is not to say that people should just ignore this type of vulnerability, just that it has to be considered with the weakest link in anyones personal security chain.

Sist jag testade att titta på bil-kamerorna live via appen så krävde appen att jag skulle tillåta att appen används som nyckel till bilen via bluetooth, trots att jag köpt en fysisk nyckel. Mycket märkligt krav, men jag accepterade kravet och satte pin-to-drive påslaget så att min bil inte skulle förbli upplåst och körbar om jag skulle parkera nära min mobil nån dag. Nu går det "bara" att öppna bilen och sno grejer i bilen (om jag parkerar nära bostaden), men inte köra iväg med den utan att kunna pin-to-drive-koden.

En annan konstig ide som Tesla har angående säkerhet är att Tesla-appen inte går att använda om man använder VPN. Det går heller inte att logga in på tesla.com om datorn är kopplad till VPN. Rimmar illa när Elon hävdar att han bryr sig om yttrandefrihet då det inte går att ha yttrandefrihet om man inte samtidigt även tillåter anonymitet på internet.

Det står såhär när man försöker logga in på sitt Tesla-konto på tesla.com via VPN:

"Access Denied
You don't have permission to access "http://auth.tesla.com/oauth2/v1/authorize?" on this server."

Uselt.

tommyd skrev:

En annan konstig ide som Tesla har angående säkerhet är att Tesla-appen inte går att använda om man använder VPN. Det går heller inte att logga in på tesla.com om datorn är kopplad till VPN. Rimmar illa när Elon hävdar att han bryr sig om yttrandefrihet då det inte går att ha yttrandefrihet om man inte samtidigt även tillåter anonymitet på internet.

Det står såhär när man försöker logga in på sitt Tesla-konto på tesla.com via VPN:

"Access Denied
You don't have permission to access "http://auth.tesla.com/oauth2/v1/authorize?" on this server."

Det låter inte alls bra. Skall testa nästa gång att logga på tesla.com när jag har VPN.

tommyd skrev:

Sist jag testade att titta på bil-kamerorna live via appen så krävde appen att jag skulle tillåta att appen används som nyckel till bilen via bluetooth, trots att jag köpt en fysisk nyckel. Mycket märkligt krav, men jag accepterade kravet och satte pin-to-drive påslaget så att min bil inte skulle förbli upplåst och körbar om jag skulle parkera nära min mobil nån dag. Nu går det "bara" att öppna bilen och sno grejer i bilen (om jag parkerar nära bostaden), men inte köra iväg med den utan att kunna pin-to-drive-koden.

En annan konstig ide som Tesla har angående säkerhet är att Tesla-appen inte går att använda om man använder VPN. Det går heller inte att logga in på tesla.com om datorn är kopplad till VPN. Rimmar illa när Elon hävdar att han bryr sig om yttrandefrihet då det inte går att ha yttrandefrihet om man inte samtidigt även tillåter anonymitet på internet.

Det står såhär när man försöker logga in på sitt Tesla-konto på tesla.com via VPN:

"Access Denied
You don't have permission to access "http://auth.tesla.com/oauth2/v1/authorize?" on this server."

Uselt.

Jag testade precis både appen och att logga in på kontot via webben med VPN igång och det gick alldeles utmärkt.
Jag kör med OVPN och valde en server i Göteborg.

Tesla kanske inte vill att dina oauth nycklar hamnar hos div tveksamma VPN tjänster (95% är ju hemmahörande i Kina).
Nej VPN är inte säkerheten själv som så många verkar tro.

tslaqqq skrev:

Tesla kanske inte vill att dina oauth nycklar hamnar hos div tveksamma VPN tjänster (95% är ju hemmahörande i Kina).
Nej VPN är inte säkerheten själv som så många verkar tro.

VPN är på sin höjd IP-adress-privacy. https är end-to-end, så det är säkert över icke-vpn, eller shady-vpn så länge man ine installerar några konstiga cert i sin browser. Då får man skylla sig själv.
Ang urlar: https://auth.tesla.com/oauth2/v1/authorize? kanske funkar bättre?

tslaqqq skrev:

Tesla kanske inte vill att dina oauth nycklar hamnar hos div tveksamma VPN tjänster (95% är ju hemmahörande i Kina).
Nej VPN är inte säkerheten själv som så många verkar tro.

Jag kör en av de större och dyrare VPN-tjänsterna med gott rykte, definitivt inte från nån VPN-leverantör från Kina. Det är bättre att köra med VPN än utan VPN, åtminstone om man som jag googlat lite innan jag valde vilken VPN-tjänst jag skulle betala för och använda.

spacecoin skrev:

tslaqqq skrev:

Tesla kanske inte vill att dina oauth nycklar hamnar hos div tveksamma VPN tjänster (95% är ju hemmahörande i Kina).
Nej VPN är inte säkerheten själv som så många verkar tro.

VPN är på sin höjd IP-adress-privacy. https är end-to-end, så det är säkert över icke-vpn, eller shady-vpn så länge man ine installerar några konstiga cert i sin browser. Då får man skylla sig själv.
Ang urlar: https://auth.tesla.com/oauth2/v1/authorize? kanske funkar bättre?

Länken man länkas till är en https-länk och inte en http-länk. Det är bara felmeddelandet man får som använder ordet "http".

Min VPN-tjänst har många datacenter i många länder. När jag väljer att ansluta via vissa datacenter tillåts jag logga in på telsa.com men när jag väljer andra så tillåts jag inte. Jag antar att Tesla inte har en uppdaterad lista över IP-adresser som tillhör VPN-tjänster och skulle blocka alla om de kände till alla.