Sicherheitslücke: Teslas über gehackte Drittsoftware fernsteuerbar

Eine Sicherheitslücke in einer Drittsoftware ermöglicht das Steuern etlicher Funktionen der betroffenen Tesla-Fahrzeuge.

Artikel veröffentlicht am ,
Tesla Model S
Tesla Model S (Bild: Tesla)

Der 19-jährige Sicherheitsforscher David Colombo warnt vor einer Sicherheitslücke in einer Drittsoftware, mit der sich Fahrzeuge von Tesla fernsteuern lassen. Demnach können Funktionen wie das Entriegeln von Türen und Fenstern oder das Deaktivieren des Sicherheitssystems (Sentry Mode) aus der Ferne gesteuert werden. Auch das Starten eines Fahrzeugs ohne Schlüssel soll möglich sein.

Stellenmarkt
  1. Data Engineer (m/w/d)
    Frankfurter Allgemeine Zeitung GmbH (F.A.Z.), Frankfurt am Main
  2. IT-Mitarbeiter (m/w/d) Service Desk & First- und Second-Level-Support
    Augustinum gemeinnützige GmbH, München
Detailsuche

Auf diese Weise will Colombo auf 25 Teslas in 13 Ländern zugreifen können. Da er die meisten Tesla-Besitzer nicht direkt kontaktieren konnte, veröffentlichte er eine Warnung auf Twitter. Dem Magazin Bloomberg zeigte er Screenshots von einer Konversation mit einem Tesla-Besitzer, der ihm erlaubte, aus der Ferne mit dem Tesla zu hupen.

Offenbar wird die nicht genannte Drittsoftware von einem relativ kleinen Teil der Tesla-Besitzer verwendet, entsprechend wenige sind von der Sicherheitslücke konkret betroffen. Allerdings zeigt sie, wie gefährlich es sein kann, das Internet der Dinge (IoT) auf Autos auszuweiten oder Software anderer Hersteller an Autos oder andere wichtige und gefährliche Gegenstände oder Dienste anzudocken.

"Ich halte es für ziemlich gefährlich, wenn jemand aus der Ferne Musik in voller Lautstärke abspielen oder die Fenster/Türen öffnen kann, während man auf der Autobahn unterwegs ist", schreibt Colombo auf Twitter. "Auch das ständige Blinken kann einen (gefährlichen) Einfluss auf andere Fahrer haben." Immerhin: Steuern oder Bremsen erlaubt die Sicherheitslücke nicht. Ein anderer Twitter-Nutzer wirft jedoch ein, dass die API das Öffnen der Türen während der Fahrt nicht erlaubt. Eine andere Nutzerin gibt zu bedenken: "Wenn du all die Dinge machen kannst, überlege dir, was Tesla-Chef Elon Musk alles steuern kann."

Internet of Crimes: Warum wir alle Angst vor Hackern haben sollten (Deutsch) Gebundene Ausgabe

Tesla und Dritthersteller sind über Sicherheitslücke informiert

Golem Akademie
  1. Elastic Stack Fundamentals – Elasticsearch, Logstash, Kibana, Beats: virtueller Drei-Tage-Workshop
    15.–17. März 2022, Virtuell
  2. Webentwicklung mit React and Typescript: virtueller Fünf-Halbtage-Workshop
Weitere IT-Trainings

Weitere Screenshots zeigen laut Bloomberg Einzelheiten zu der Sicherheitslücke sowie den Hersteller der Software. Diese gab der Sicherheitsforscher allerdings mit der Bitte weiter, diese nicht zu veröffentlichen, da die Lücke noch nicht behoben sei. Der Sicherheitsforscher steht demnach in Kontakt mit dem Sicherheitsteam von Tesla und dem Hersteller der Drittsoftware.

Colombo erklärte dem Magazin, das Problem liege in einer unsicheren Art und Weise, mit welcher die Drittsoftware Informationen speichert, um die Autos mit dem Programm zu verbinden. Demnach hatten die Tesla-Eigentümer der Drittsoftware via API-Token Zugang zu ihrem Fahrzeug gewährt.

An diesen Token konnte der Sicherheitsforscher über eine Sicherheitslücke in der Drittsoftware gelangen. Entsprechend handelt es sich nicht um eine Sicherheitslücke in der Infrastruktur von Tesla selbst. Ob es allerdings sinnvoll ist, ungeprüfter Software einen Zugriff auf die API zu ermöglichen, steht auf einem anderen Blatt.

"Schließen Sie einfach keine kritischen Dinge an das Internet an", sagte Colombo. "Das ist ganz einfach. Und wenn Sie es doch tun müssen, dann sorgen Sie dafür, dass es sicher eingerichtet ist."

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Lachser 19. Jan 2022 / Themenstart

Bis eines Tages eine Lücke im Stil von log4j auftaucht und einfach Millionen Fahrzeuge...

Jefey 14. Jan 2022 / Themenstart

Da verstehst du glaub ich nicht wie das funktioniert. Die App wird auf dein Handy...

sigma2 14. Jan 2022 / Themenstart

Danke.

katze_sonne 14. Jan 2022 / Themenstart

Ich hab den Artikel auch zweimal lesen müssen, bis ich kapiert hatte, worum es geht. Und...

xSureface 14. Jan 2022 / Themenstart

Kann besser sein. Aber für 5% den Aufwand betreiben lohnt evtl. nicht mal.

Kommentieren



Aktuell auf der Startseite von Golem.de
Dataport
"Die Arbeit wird uns nicht so schnell ausgehen"

Ein Job mit Zukunft und Sinnhaftigkeit, sicherer Bezahlung und verlässlichen Arbeitsbedingungen - so hat es Dataport zum Top-IT-Arbeitgeber geschafft.
Von Sebastian Grüner

Dataport: Die Arbeit wird uns nicht so schnell ausgehen
Artikel
  1. Autonomes Fahren: Mercedes kauft sich beim Lidar-Hersteller Luminar ein
    Autonomes Fahren
    Mercedes kauft sich beim Lidar-Hersteller Luminar ein

    Autonom fahrende Autos müssen ihre Umgebung abtasten. Dafür hat sich Mercedes beim Sensorhersteller Luminar eingekauft.

  2. Microsoft: Sony äußert sich zur Übernahme von Activision Blizzard
    Microsoft
    Sony äußert sich zur Übernahme von Activision Blizzard

    Rund 20 Milliarden US-Dollar haben die Aktien von Sony verloren. Nun hat der Konzern erstmals den Kauf von Activision Blizzard kommentiert.

  3. Mining und Besitz: Russland plant Verbot von Kryptowährungen
    Mining und Besitz
    Russland plant Verbot von Kryptowährungen

    Die russische Zentralbank hat vorgeschlagen, sowohl die Nutzung von Kryptowährungen als auch das Schürfen zu verbieten.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • RTX 3070 989€ • The A500 Mini Retro-Konsole mit 25 Amiga-Spielen vorbestellbar 189,90€ • RX 6700 XT 12GB 869€ • LG OLED (2021) 40% günstiger (u.a. 65" 1.599€) • WD Black 1TB SSD 94,90€ • Lenovo Laptops (u.a. 17,3" RTX3080 1.599€) • MindStar (u.a. 32GB DDR5-6000 389€) [Werbung]
    •  /