Hacking av Model S!?!

[satheesh.net]

I hvert fall i følge en ansatt i Dell. Det gjelder hvordan API'en (programmeringsgrensesnittet) fungerer og hvor sårbart det er.

http://www.valuewalk.com/2013/08/tesla-motors-inc-tsla-model-s-hack-dell/

[fredag]

I hvert fall i følge en ansatt i Dell. Det gjelder hvordan API'en (programmeringsgrensesnittet) fungerer og hvor sårbart det er.

http://www.valuewalk.com/2013/08/tesla-motors-inc-tsla-model-s-hack-dell/

Litt bedre writeup:
http://broadcast.oreilly.com/2013/08/authentication-flaws-in-the-tesla-model-s-rest-api.html

Det er altså ikke faktisk en Tesla som er blitt hacket. Det er bare en potensiell svakhet eller noe som burde vært laget på en annen og litt sikrere måte.

Tesla burde brukt OAUTH istedet. Og du som kunde må aldri må gi ditt Tesla login passord til andre, eller bruke andres datamaskiner til å logge inn på Teslas websider, siden sessionid vil fungere i 3 mnd. Men passord er jo delte hemmeligheter mellom deg og Tesla, og du vet jo at du aldri må bruke samme passord på flere forskjellige tjenester, ikke sant?

Forbindelsen til webserveren er kryptert med https/ssl, så alt er bra sånn sett.

For de fleste av Teslas kunder, som kun logger inn på websiden på eget utstyr, eller bruker den offisielle appen, så er ikke dette noe reellt problem.

For mer avanserte brukere som ønsker å benytte tredjepartsløsninger til å mappe bevegelsene til bilen og sånt, og dermed må gi fra seg passord til andre, så kan dette være en svakhet.