Der norwegischen Sicherheitsfirma Promon ist es gelungen, eine bekannte Sicherheitslücke im Betriebssystem Android so zu nutzen, dass sie die Kontrolle über ein Tesla Model S übernehmen konnten. Dafür haben sie in der Nähe eines Tesla-Superchargers einen kostenlosen Wifi-Hotspot eingerichtet, der die ladenden Teslafahrer mit der Aussicht auf eine Gratismahlzeit dazu animieren sollte, eine App zu installieren. Über diese Malware gewannen die Sicherheitsexperten Zugriff auf das Android-Betriebssystem sowie die installierten Apps, inklusive Passwörtern. Das Öffnen des Elektroautos und Losfahren über die Keyless-Drive-Funktion war somit kein Problem mehr.
Tesla äußerte sich bereits zu diesem „PR-Aktion“ genannten Hack von Promon: Das Video zeige „keine Tesla-spezifische Schwäche, sondern vielmehr, was die meisten Menschen intuitiv wissen — wenn ein Telefon gehackt wird, sind die darauf installierten Apps nicht mehr sicher.“ Der Elektroauto-Hersteller empfiehlt, sorgsam und bedacht mit seinen Daten umzugehen und stets die neuste Software-Version des Android-Betriebssystems installiert zu haben.
Promon war es wichtig darauf hinzuweisen, dass man nicht Tesla alleine an den Pranger stellen möchte. Auch andere Autohersteller bieten Apps für Android-Smartphones an und würden sich auf die gleiche Art hacken lassen. Das Problem kann auch Anbieter von Geräten für das vernetzte Haus betreffen. Aber Aktionen wie diese ziehen erfahrungsgemäß am besten mit Fahrzeugen des Elektroauto-Pioniers aus Kalifornien. Promon habe Tesla auch schon einige Wochen vor der Veröffentlichung des Hacks informiert, die Schwachstellen sollen mittlerweile behoben sein.
JuergenII meint
Man sollte halt keine offenen Systeme wie Android bei sicherheitsrelevanten Anwendungen einsetzen und dazu zähle ich auch Appanwendungen für das eigene Fahrzeug. IOS und Winphone, beides geschlossene Betriebssysteme, in der installierte Apps nur in der Sandbox laufen, sind deutlich sinnvoller und sicherer.
Aber leider interessiert sich im Vorfeld kaum jemand für dieses kleine, aber wichtige Detail.
Leonardtronic meint
Was lange überfällig ist dass die ganzen PCs, Smartphones und Tablets mit einem zweiteiligen Betriebssystem ausgestattet werden. Ein Teil fürs Surfen, Spielen und experimentieren und ein zweites wo die ganzen sicherheitsrelevanten Sachen gemacht werden. Zwischen dem Sandkasten und dem Safe-System gibts es keine Brücke. Dann sind die Betrüger endlich ausgeschlossen.
Keine Ahnung warum sowas simples keiner macht.
Fritz! meint
Weil es nicht so simpel ist.
Die Trennung zwischen spielen, surfen und sicherheitsrelevant ist fliesend. Darf ich mit dem Browser auf meine Bank zugreifen? Habe ich dann zwei Browser, einen zum suchen, einen für die Bank? Was ist mit einer Bank-App? Sicher oder unsicher? Eine App für mein Homeautomations-System? Für meinen Video-Recorder? Die App für Tesla, Dacia, BMW? Wie bekomme ich eine sichere App? Benötige ich ein Zertifikat? Wer stellt es aus? Was ist, wenn die Zertifikate gestohlen werden (schon öfter passiert)?
usw…
Fritz! meint
Wenn ich das Video richtig verstanden habe, ist es möglich, einen Tesla nur mit der App (Android oder Apple) zu steuern/starten? Also ohne das der Schlüssel im Wagen ist?
Mit Schlüssel werden aber die ganzen Zusatz-Funktionen (selbstständig parken u.a.) schwierig. Wo soll der Schlüssel dann sein? Im Auto (doofe Idee)? Oder beim Smartphone? Dann sollte sich der Schlüssel per Bluetooth am Smartphone authentifizieren, wie auch immer das dann sicher zu bewerkstelligen ist.
Wäre aber eine Idee, dann kann das Auto nicht fahren, ohne das irgendwer (das Auto oder das Smartphone) den Schlüssel in seiner Nähe hat. Stellt natürlich besondere Anforderungen an die Sicherheit des Smartphones (wobei dann, dank Google, 90% aller Android-Handys draussen sein sollten dank völlig veraltetem Betriebssystem).
Tom meint
Was mir nicht klar ist: Hat Tesla zusätzliche Sicherheitsmaßnahmen ergriffen, oder wurde die Android-Lücke von Google geschlossen? Bei letzterem ist ja generell das Problem, dass die meisten Android Geräte von den Herstellern ja meistens schon kurz nach Erscheinen Softwaretechnisch fallen gelassen werden und nie wieder Updates erhalten.
Ich wollte mich schon immer mal mit Custom ROMs beschäftigen… mal wieder ein Anlass mehr.
Fritz! meint
Android ist diese „Lücke“ bekannt, Tesla hat seine App für den Google-Store geändert. Bei iOS scheint es dieses Problem nicht zu geben, ich weiß, warum ich meinen Kunden, die ein wenig Wert auf Sicherheit und Privatspähre legen, von einem Android-Gerät abrate.
frax meint
Vielen Dank an ecomento für die differenzierte Aufbereitung des „Hacks“ – häufig liest sich der Vorfall ganz anders…
McGybrush meint
Wenn man an Passwörte des Besitzers ran kommt dann kannst Du auch ein UFO starten. Egal wie Sicher es ist. Am ende können nur Augenscanner etc mehr Schutz bringen.
Matthäus meint
Das war doch abzusehen, das sowas mal passiert und das geht mit Sicherheit auch ganz ohne Zuarbeit. Tesla sollte ein eigenes OS entwickeln.
Fritz! meint
Ähhh, Tesla hat ein eigenes Betriebssystem.
Der Hack gelang, weil die Tesla-Besitzer auf IHREM Android Smartphone eine „böse“ App installiert hat, die dann über die Tesla-App das Auto steuern konnte. Das Auto wurde nie angegriffen!
Das wurde in dem Artikel nicht so klar hervorgehoben, wie es schön gewesen wäre.
Matthäus meint
Nein, Tesla benutzt ein Linuxderivat. Meines Wissens Ubuntu. Das ist zwar bedeutend sicherer als Android, aber dennoch nicht die optimale Lösung.
Tesla-Fan meint
Die „Genialität“ dieses „Tesla-Hacks“ hat in etwa die Qualität von „Ich lasse den Schlüssel am Auto stecken“.
Es ist völlig egal, welches BS irgendwo läuft, wenn der übergeordnete Wifi-Router so manipuliert ist, User und Passwort abzugreifen.
Mit den ergaunerten User-Daten komme ich überall rein, wo auch der legitime User rein kommt. Das nennt man Identitäts-Diebstahl aber nicht Hack.
Matthäus meint
Und eben das macht beispielsweise iOS besser. iOS lässt solch einen Zugriff nicht zu. Deswegen wäre es ideal, wenn das nachgelagerten System eben dies berücksichtigt.
BigAl meint
Dem schließe ich mich an!
Bei fremden Nezt eine unbekannte App zu installieren und vor allem beim startet von Tesla App wurden nochmal die login Daten abgefragt! …spätestens dann solten die Alarmglocken läuten.
Fritz! meint
Ja und? Ein Linux-Derivat ist ja wohl etwas anderes als Android. Es basiert zwar beides auf Linux, aber außer Android gibt es wohl kein schlechter gepflegtes Linux-basierendes Betriebssystem, bzw. eins, bei dem so viele alte ungesichterte und ungepatchte Versionen im Umlauf sind.