Джордж Рийс споделя притеснителното си откритие в O'Reilly Community – хакването на Model S Става през API и по-точно през един определен – Tesla REST API. Ако нямаш идея за понятието API ето набързо:
Просто казано, {tooltip}API{end-link}Application Programming Interface{end-link} е комплект от интернет страници, които при посещение могат да задействат някакви функции в колата ти. В случая с Tesla, след като се впишеш, можеш да идеш на https://portal.vn.teslamotors.com/vehicles и да видиш всички регистрирани от потребители коли.
С въпросния Tesla REST API през мобилния си телефон (iPhone или Android) можеш да:
- Проверяваш нивото на заряд в батерията;
- Вкл/изкл климатика;
- Отваряш/затваряш панорамния стъклен покрив;
- Намираш къде е колата ти;
- Бибиткаш;
- Отваряш зарядния порт;
- Променяш различни конфигурационни настройки;
- Други подобни неща.
Хубавото е, че според Джордж използването на този API не може да доведе до инцидент, ако някой си осигури злонамерен достъп до него. Може да се нанесат достатъчно икономически вреди обаче, под формата на допълнително изразходен ток или ненужно натоварване на батериите.
Какъв му е проблема на този Tesla REST API?
Джордж смята, че екипът на Tesla е игнорирал повечето конвенции, свързани с API оторизациите и е написал свои протоколи. Оторизацията се получава, когато задействаш логин функцията с имейл и парола на Tesla клиент. Те са същите като за влизане в www.teslamotors.com и всеки клиент има такива, най-малкото защото за да конфигурираш Tesla Model S, трябва да се регистрираш. И ние имаме акаунт, който използвахме, за да конфигурираме бъдещия eCars.bg Model S...
След вписването оторизиращата функция генерира код, валиден за 3 месеца. Всички заявки за използване на REST API в този период стават чрез този код – не използваш имейла и паролата си за влизане, с други думи. Стига да си пазиш някъде кода...
Какви грижи можеда предизвика тази "пукнатина"?
- Използването е сигурно само пред защитена SSL връзка (малка грижа);
- Изисква споделянето на потребителската парола с трети страни (голяма грижа);
- Няма механизъм за каталогизиране на приложения с активни кодове (сериозна грижа);
- Няма механизъм за отнемане на достъпа до компрометирано приложение (голяма грижа);
- Автоматичното изтичане на кода след 3 месеца подтиква приложението да съхранява неправилно имейл адрес и парола (сериозна грижа).
Никак не са малко и не е като да не будят притеснения тези неща. Успокоението е, че този архитектурен пробив не може да доведе до заплаха на сигурността на Model S. Проблемът е по-скоро в това, че може да се осъществят следните потенциални атаки:
- Искаш да използваш някоя от полезните функции на сайта. Влизаш с имейл и парола, но те биват съзнателно и некоректно запаметени. След това може да бъдат компромени или още по-лошо, да бъдат използвани;
- Хакер си осигурява достъп до кодовете в базата данни на уебсайта. Така получава достъп до всичките коли в сайта за 3 месеца и собствениците не могат да направят нищо.
Кофти случка и едва ли е толкова успокоително, че щетите могат да са само икономически. Никой не иска да му пипат колата, да му точат тока от батерията, да му отварят стъкленият таван (о, какво наводненийце би се получило само...), да му включват климатика, да бибиткат за кеф или да светкат с фаровете. Да не говорим, че в движение може да се панираш доста от такива "полтъргайстки" изпълнения.
Но най-лошото е...
Че вероятно този API може да се използва за проследяване. Вече не ти трябва частен детектив – взимаш си частен хакер и няма да ти е особено трудно да спретваш на половинката си гадни номерца. Ще пада смях май 
.
Но не е никак смешно и проблемът с този Tesla API е само поредното доказателство за софтуерната зависимост, в която все повече изпадаме. Model S е чудесна играчка, но в Tesla ще трябва да затягат коланите. Иначе нещата могат да станат неприятни. А колата е прекалено готина, че да страда от подобни недостатъци. Надяваме се Tesla да поправи тази грешка, защото прекалено много самостоятелност не ни идва чак толкоз на добре. Все пак си има установени норми за API функции, като OAuth (точният за Потребител-Система оторизиращ механизъм), който явно в Tesla са решили да игнорират.
И накрая...
Джордж установява още няколко неща, като това, че приложението на комуникира директно с колата, а през уеб портал. В API света всичко започва със защита и завършва с някаква функционалност. Сега остава да следим дали Tesla ще се съобрази с тези открития и дали ще направи съответните промени, за да премахне или поне ограничи силно възможностите за пробив. А на теб как ти се струва цялата тази работа? Да имаш някакви API препоръки към Tesla?
[От: O'Reilly Community през Autoblog green]
eCars.bg / Elektromobili.bg
Когато избираме какво да споделим с теб, имаме една съвсем простичка задача – да се уверим, че ще ти върши работа.
