Mit Phishing zum eigenen Tesla
Sicherheitsforschende haben einen Weg gefunden, Teslas zu entriegeln und zu stehlen. Dazu benötigen sie lediglich die Accountinformationen der Fahrzeughalter.
Wer mit einem Tesla unterwegs ist, braucht nur sein Telefon, um das Fahrzeug zu entriegeln oder zu starten. Der sogenannte "Phone Key" mag für User praktisch sein, stellt allerdings auch eine Sicherheitsbedrohung dar, wie "Bleeping Computer" berichtet.
Zwei Sicherheitsforscher haben herausgefunden, dass das Erstellen neuer "Phone Keys" ohne zusätzliche Authentifikationsschritte möglich ist, wenn man Zugriff auf einen Tesla-Account hat.
Um diesen Zugriff zu Erlangen, haben die Sicherheitsforscher ein WLAN-Netzwerk mit dem Namen "Tesla Guest" in der Nähe einer Tesla-Ladestation erstellt. Wer sich nun mit dem Netzwerk verbinde, erhalte eine Login-Seite präsentiert, welche den Nutzer oder die Nutzerin auffordere, sich mit dem eigenen Tesla-Account im Netzwerk anzumelden.
Die Sicherheitsforscher konnten die auf der Website eingegeben Daten in Echtzeit verfolgen und so auch das One-Time-Passwort des Accounts abgreifen, wie es weiter heisst. Mit den gephishten Daten meldeten sie sich dann auf ihrem eigenen Gerät in der Tesla-App an.
Schlüssel erstellen und wegfahren
Sobald der Account auf dem Gerät verknüpft sei, könne das Telefon als Schlüssel für den Tesla des Accountbesitzers eingerichtet werden. Der Teslabesitzer werde nicht informiert, wenn ein neuer Schlüssel hinzugefügt werde. Mit dem neuen Handyschlüssel könne das Auto anschliessend entsperrt und gestartet werden. Der Angreifer braucht dann nur noch wegzufahren.
Eine physische RFID-Schlüsselkarte (Radio-Frequency Identification) gebe es für den Tesla zwar auch, diese diene allerdings als Backup für den "Phone Key" und sei nicht notwendig zur Einrichtung eines neuen Handyschlüssels.
(Source: Youtube)
Die Sicherheitsforscher wiesen Tesla auf die Schwachstelle hin und empfahlen dem Unternehmen, die Schlüsselkarte als zusätzlichen Authentifizierungsschritt zu nutzen, wie "Bleeping Computer" weiter schreibt. Daraufhin habe Tesla geantwortet, dass die Untersuchung ergeben habe, dass es sich dabei um ein vorgesehenes Verhalten handle und in der Bedienungsanleitung des Tesla Model 3 nicht angegeben sei, dass eine Schlüsselkarte erforderlich sei, um einen Telefonschlüssel hinzuzufügen.
Sicherheitsforschern gelang es übrigens auch schon, das Tesla-Infotainment-System zu hacken, wie sie hier nachlesen können.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.