Dos investigadores de seguridad demostraron que se puede hackear un Tesla, y posiblemente otros coches conectados a internet, de forma más o menos remota, utilizando un dron para lanzar el ataque.
TBONE, como se denomina el ataque desarrollado por los expertos en seguridad Ralf-Philipp Weinmann, de Kunnamon, y Benedikt Schmotzle, de Comsecuris, explota vulnerabilidades graves en ConnMan, un administrador de conexión a internet para dispositivos integrados basados en Linux.
Gracias al exploit, un atacante podía tomar el control del sistema de infoentretenimiento de un Tesla sin la interacción del usuario, haciendo uso de un dron para lanzar el ataque mediante wifi.
TBONE permitió a los investigadores abrir las puertas de un Tesla estacionado a una distancia de 100 metros. Aunque, en realidad, con el control total del sistema de infoentretenimiento, los atacantes podrían realizar cualquier tarea que puede hacer el usuario desde la pantalla del Tesla: abrir las puertas, cambiar la posición de los asientos, reproducir música, controlar el aire acondicionado y modificar los modos de dirección y aceleración. El atacante no podría, en ningún caso, conducir el coche.
Esta investigación se llevó a cabo originalmente para la conferencia Pwn2Own, en la que Tesla suele regalar un coche a los que consiguen hackearlo. Sin embargo, Pwn2Own 2020 eliminó esta categoría debido a la pandemia, y los investigadores tuvieron que avisar a Tesla de sus hallazgos a través del programa de recompensas de la compañía.
Tesla parcheó las vulnerabilidades explotadas por TBONE con una actualización de software lanzada en octubre de 2020 y, según Security Week, dejó de usar ConnMan. Sin embargo, ConnMan se sigue usando ampliamente en la industria automotriz, lo que podría significar que aún se pueden lanzar ataques similares contra otros vehículos.