Sicherheit: Auch der Schlüssel für Teslas Model X lässt sich hacken

Ein Team aus Belgien hat bereits zwei Mal das Schließsystem von Tesla überlistet. Was beim Model S möglich ist, geht auch beim Model X.

Artikel veröffentlicht am ,
Tesla Model X (Symbolbild): 5.500 US-Dollar Belohnung von Tesla
Tesla Model X (Symbolbild): 5.500 US-Dollar Belohnung von Tesla (Bild: Werner Pluta/Golem.de)

Wieder einmal Probleme mit den Türen des Model X. Dieses Mal geht es aber nicht um den komplexen Mechanismus, der die Tür hochklappt und dabei faltet, sondern um den Schließmechanismus: Ein Team der Katholischen Universität (KU) Leuven in Belgien hat den elektronischen Schlüssel des Model X gehackt und konnte mit dem Sport Utility Vehicle (SUV) wegfahren.

Stellenmarkt
  1. Teamleiter Chassis Controls (m/w / divers)
    Continental AG, Frankfurt
  2. Consultant (m/w/d) im Bereich Digitalisierung und Informationssicherheit
    Becker Büttner Held Rechtsanwälte Wirtschaftsprüfer Steuerberater PartGmbB, München
Detailsuche

Dazu nutzte das Team um Sicherheitsforscher Lennert Wouters zwei Sicherheitslücken im Tesla. Die erste betrifft den Funkschlüssel, der auf Knopfdruck ein Kommando an das Fahrzeug sendet, um die Türen zu öffnen. Dafür wird Bluetooth Low Energy (BLE) eingesetzt, um auch Smartphones als Autoschlüssel verwenden zu können. Mit einem Schließsystem - Body Control Unit (BCU) genannt - aus einem verschrotteten Tesla und einem Raspberry Pi konnte das KU-Team das Schließsystem des Autos öffnen.

Schadsoftware für den Funkschlüssel

Über die BLE-Schnittstelle ist es möglich, Aktualisierungen auf den Schlüssel zu übertragen. Wie das Team herausfand, ist die Schnittstelle jedoch nicht ausreichend gesichert. So konnte es eine Schadsoftware auf den Funkschlüssel übertragen und sich damit den Code, der die Autotüren öffnet, verschaffen.

Zunächst stellte der gefälschte Schlüssel - also das System aus BCM und Raspberry Pi - eine Verbindung mit dem echten her. Dazu dürfen beide nur wenige Meter entfernt sein. Die Übertragung der Schadsoftware kann dann aus etwa größerer Entfernung, etwa 30 Metern, geschehen.

Golem Karrierewelt
  1. IT-Sicherheit für Webentwickler: virtueller Zwei-Tage-Workshop
    14./15.09.2022, Virtuell
  2. Cinema 4D Grundlagen: virtueller Drei-Tage-Workshop
    04.-06.07.2022, Virtuell
Weitere IT-Trainings

Über die zweite Sicherheitslücke gelang es, die Wegfahrsperre zu deaktivieren und mit dem Auto wegzufahren. Dazu wurde die BCM-Raspberry-Pi-Einheit an den Can-Bus angeschlossen, die Diagnose-Schnittstelle des Fahrzeugs. Über eine Schwachstelle im Kopplungsprotokoll konnte sich das Team Zugang zum Fahrzeug verschaffen und damit wegfahren.

Es war nicht das erste Mal, dass Wouters einen Tesla hackte: 2018 knackten er und sein Team die schwache Verschlüsselung und klonten den Funkschlüssel eines Tesla Model S. Tesla brachte daraufhin neue Funkchips mit stärkerer Verschlüsselung heraus, die sich ebenfalls als angreifbar erwiesen.

Das KU-Team hatte Tesla nach eigenen Angaben im August über die Sicherheitslücke informiert. Der Elektroautohersteller erkannte die Schwachstelle an und bedankte sich bei dem KU-Team mit einem Bug Bounty in Höhe von 5.500 US-Dollar. Derzeit verteilt Tesla eine aktualisierte Software für die Schlüssel des Model X. In dieser Version, 2020.48, soll das Problem behoben sein.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


nja666 25. Nov 2020

Kenne ich auch noch. Als Kind mit Mutti und Golf 1 einkaufen gewesen. Als wir wieder...

Playfield 25. Nov 2020

Wie innovativ. In Amerika hat gefühlt jedes zweite Auto ein PIN Schloss an dem Türgriff...

SanderK 24. Nov 2020

Bollinger ;-) Glaube Aber nicht auf den Markt ;-)

herrmausf 24. Nov 2020

war wohl nix.



Aktuell auf der Startseite von Golem.de
Machine Learning
Die eigene Stimme als TTS-Modell

Mit Machine Learning kann man ein lokal lauffähiges und hochwertiges TTS-Modell der eigenen Stimme herstellen. Dauert das lange? Ja. Braucht man das? Nein. Ist das absolut nerdig? Definitv!
Eine Anleitung von Thorsten Müller

Machine Learning: Die eigene Stimme als TTS-Modell
Artikel
  1. US-Streaming: Abonnenten immer unzufriedener mit Netflix
    US-Streaming
    Abonnenten immer unzufriedener mit Netflix

    Wenn Netflix-Abonnenten das Abo kündigen, wird vor allem der hohe Preis sowie ein schlechtes Preis-Leistungs-Verhältnis als Grund dafür genannt.

  2. Discovery+: Neues Streamingabo in Deutschland verfügbar
    Discovery+
    Neues Streamingabo in Deutschland verfügbar

    Während etwa Netflix oder Disney werbefinanzierte Varianten ihrer Abos planen, startet Discovery+ gleich mit einem solchen Dienst.

  3. Krypto-Gaming: Spieleentwickler wollen nichts mit NFT zu tun haben
    Krypto-Gaming
    Spieleentwickler wollen nichts mit NFT zu tun haben

    Die Gamesbranche wehrt sich bislang vehement gegen jedes neue Blockchain-Projekt. Manager und Entwickler erklären warum.
    Von Daniel Ziegener

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • MSI GeForce RTX 3080 Ti Ventus 3X 12G OC 1.049€ • Alternate (u. a. Corsair Vengeance LPX 32 GB DDR4-3600 106,89€) • MindStar (Patriot P300 512 GB 39€) • The Quarry + PS5-Controller 99,99€ • Samsung Galaxy Watch 3 R840 119€ • Top-PC mit Ryzen 7 & RTX 3070 Ti 1.700€ [Werbung]
    •  /