Sicherheitslücke: Teslas über gehackte Drittsoftware fernsteuerbar

Der 19-jährige Sicherheitsforscher David Colombo warnt vor einer Sicherheitslücke in einer Drittsoftware, mit der sich Fahrzeuge von Tesla fernsteuern lassen. Demnach können Funktionen wie das Entriegeln von Türen und Fenstern oder das Deaktivieren des Sicherheitssystems (Sentry Mode) aus der Ferne gesteuert werden. Auch das Starten eines Fahrzeugs ohne Schlüssel soll möglich sein.

Auf diese Weise will Colombo auf 25 Teslas in 13 Ländern zugreifen können. Da er die meisten Tesla-Besitzer nicht direkt kontaktieren konnte, veröffentlichte er eine Warnung auf Twitter. Dem Magazin Bloomberg zeigte er Screenshots von einer Konversation mit einem Tesla-Besitzer, der ihm erlaubte, aus der Ferne mit dem Tesla zu hupen.

Offenbar wird die nicht genannte Drittsoftware von einem relativ kleinen Teil der Tesla-Besitzer verwendet, entsprechend wenige sind von der Sicherheitslücke konkret betroffen. Allerdings zeigt sie, wie gefährlich es sein kann, das Internet der Dinge (IoT) auf Autos auszuweiten oder Software anderer Hersteller an Autos oder andere wichtige und gefährliche Gegenstände oder Dienste anzudocken.

"Ich halte es für ziemlich gefährlich, wenn jemand aus der Ferne Musik in voller Lautstärke abspielen oder die Fenster/Türen öffnen kann, während man auf der Autobahn unterwegs ist", schreibt Colombo auf Twitter. "Auch das ständige Blinken kann einen (gefährlichen) Einfluss auf andere Fahrer haben." Immerhin: Steuern oder Bremsen erlaubt die Sicherheitslücke nicht. Ein anderer Twitter-Nutzer wirft jedoch ein, dass die API das Öffnen der Türen während der Fahrt nicht erlaubt. Eine andere Nutzerin gibt zu bedenken: "Wenn du all die Dinge machen kannst, überlege dir, was Tesla-Chef Elon Musk alles steuern kann."

Tesla und Dritthersteller sind über Sicherheitslücke informiert

Weitere Screenshots zeigen laut Bloomberg Einzelheiten zu der Sicherheitslücke sowie den Hersteller der Software. Diese gab der Sicherheitsforscher allerdings mit der Bitte weiter, diese nicht zu veröffentlichen, da die Lücke noch nicht behoben sei. Der Sicherheitsforscher steht demnach in Kontakt mit dem Sicherheitsteam von Tesla und dem Hersteller der Drittsoftware.

Colombo erklärte dem Magazin, das Problem liege in einer unsicheren Art und Weise, mit welcher die Drittsoftware Informationen speichert, um die Autos mit dem Programm zu verbinden. Demnach hatten die Tesla-Eigentümer der Drittsoftware via API-Token Zugang zu ihrem Fahrzeug gewährt.

An diesen Token konnte der Sicherheitsforscher über eine Sicherheitslücke in der Drittsoftware gelangen. Entsprechend handelt es sich nicht um eine Sicherheitslücke in der Infrastruktur von Tesla selbst. Ob es allerdings sinnvoll ist, ungeprüfter Software einen Zugriff auf die API zu ermöglichen, steht auf einem anderen Blatt.

"Schließen Sie einfach keine kritischen Dinge an das Internet an", sagte Colombo. "Das ist ganz einfach. Und wenn Sie es doch tun müssen, dann sorgen Sie dafür, dass es sicher eingerichtet ist."