Sicherheitslücke: Teslas über gehackte Drittsoftware fernsteuerbar

Eine Sicherheitslücke in einer Drittsoftware ermöglicht das Steuern etlicher Funktionen der betroffenen Tesla-Fahrzeuge.

Artikel veröffentlicht am ,
Tesla Model S
Tesla Model S (Bild: Tesla)

Der 19-jährige Sicherheitsforscher David Colombo warnt vor einer Sicherheitslücke in einer Drittsoftware, mit der sich Fahrzeuge von Tesla fernsteuern lassen. Demnach können Funktionen wie das Entriegeln von Türen und Fenstern oder das Deaktivieren des Sicherheitssystems (Sentry Mode) aus der Ferne gesteuert werden. Auch das Starten eines Fahrzeugs ohne Schlüssel soll möglich sein.

Stellenmarkt
  1. (Senior) Software Developer (m/w/d)
    STABILO International GmbH, Heroldsberg
  2. Digital Solutions Manager (m/w/d)
    P.E.G. Einkaufs- und Betriebsgenossenschaft eG, München
Detailsuche

Auf diese Weise will Colombo auf 25 Teslas in 13 Ländern zugreifen können. Da er die meisten Tesla-Besitzer nicht direkt kontaktieren konnte, veröffentlichte er eine Warnung auf Twitter. Dem Magazin Bloomberg zeigte er Screenshots von einer Konversation mit einem Tesla-Besitzer, der ihm erlaubte, aus der Ferne mit dem Tesla zu hupen.

Offenbar wird die nicht genannte Drittsoftware von einem relativ kleinen Teil der Tesla-Besitzer verwendet, entsprechend wenige sind von der Sicherheitslücke konkret betroffen. Allerdings zeigt sie, wie gefährlich es sein kann, das Internet der Dinge (IoT) auf Autos auszuweiten oder Software anderer Hersteller an Autos oder andere wichtige und gefährliche Gegenstände oder Dienste anzudocken.

"Ich halte es für ziemlich gefährlich, wenn jemand aus der Ferne Musik in voller Lautstärke abspielen oder die Fenster/Türen öffnen kann, während man auf der Autobahn unterwegs ist", schreibt Colombo auf Twitter. "Auch das ständige Blinken kann einen (gefährlichen) Einfluss auf andere Fahrer haben." Immerhin: Steuern oder Bremsen erlaubt die Sicherheitslücke nicht. Ein anderer Twitter-Nutzer wirft jedoch ein, dass die API das Öffnen der Türen während der Fahrt nicht erlaubt. Eine andere Nutzerin gibt zu bedenken: "Wenn du all die Dinge machen kannst, überlege dir, was Tesla-Chef Elon Musk alles steuern kann."

Internet of Crimes: Warum wir alle Angst vor Hackern haben sollten (Deutsch) Gebundene Ausgabe

Tesla und Dritthersteller sind über Sicherheitslücke informiert

Golem Akademie
  1. Go für Einsteiger: virtueller Zwei-Tages-Workshop
    25./26.07.2022, Virtuell
  2. LDAP Identitätsmanagement Fundamentals: virtueller Drei-Tage-Workshop
    18.-20.07.2022, Virtuell
Weitere IT-Trainings

Weitere Screenshots zeigen laut Bloomberg Einzelheiten zu der Sicherheitslücke sowie den Hersteller der Software. Diese gab der Sicherheitsforscher allerdings mit der Bitte weiter, diese nicht zu veröffentlichen, da die Lücke noch nicht behoben sei. Der Sicherheitsforscher steht demnach in Kontakt mit dem Sicherheitsteam von Tesla und dem Hersteller der Drittsoftware.

Colombo erklärte dem Magazin, das Problem liege in einer unsicheren Art und Weise, mit welcher die Drittsoftware Informationen speichert, um die Autos mit dem Programm zu verbinden. Demnach hatten die Tesla-Eigentümer der Drittsoftware via API-Token Zugang zu ihrem Fahrzeug gewährt.

An diesen Token konnte der Sicherheitsforscher über eine Sicherheitslücke in der Drittsoftware gelangen. Entsprechend handelt es sich nicht um eine Sicherheitslücke in der Infrastruktur von Tesla selbst. Ob es allerdings sinnvoll ist, ungeprüfter Software einen Zugriff auf die API zu ermöglichen, steht auf einem anderen Blatt.

"Schließen Sie einfach keine kritischen Dinge an das Internet an", sagte Colombo. "Das ist ganz einfach. Und wenn Sie es doch tun müssen, dann sorgen Sie dafür, dass es sicher eingerichtet ist."

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Lachser 19. Jan 2022

Bis eines Tages eine Lücke im Stil von log4j auftaucht und einfach Millionen Fahrzeuge...

Jefey 14. Jan 2022

Da verstehst du glaub ich nicht wie das funktioniert. Die App wird auf dein Handy...

sigma2 14. Jan 2022

Danke.

katze_sonne 14. Jan 2022

Ich hab den Artikel auch zweimal lesen müssen, bis ich kapiert hatte, worum es geht. Und...



Aktuell auf der Startseite von Golem.de
Cariad
Aufsichtsrat greift bei VWs Softwareentwicklung durch

Die Sorge um die Volkswagen-Softwarefirma Cariad hat den Aufsichtsrat veranlasst, ein überarbeitetes Konzept für die ehrgeizigen Pläne vorzulegen.

Cariad: Aufsichtsrat greift bei VWs Softwareentwicklung durch
Artikel
  1. Delfast Top 3.0: Ukrainische Armee setzt E-Motorräder zur Panzerjagd ein
    Delfast Top 3.0
    Ukrainische Armee setzt E-Motorräder zur Panzerjagd ein

    Ukrainische Infanteristen nutzen E-Motorräder, um leise und schnell zum Einsatz zu gelangen und die Panzerabwehrlenkwaffe NLAW zu transportieren.

  2. Überwachung: Polizei setzt Handy-Erkennungskamera gegen Autofahrer ein
    Überwachung
    Polizei setzt Handy-Erkennungskamera gegen Autofahrer ein

    In Rheinland-Pfalz werden Handynutzer am Steuer eines Autos automatisch erkannt. Dazu wird das System Monocam aus den Niederlanden genutzt.

  3. Love, Death + Robots 3: Mal spannend, mal tragisch, mal gelungen, mal nicht so
    Love, Death + Robots 3
    Mal spannend, mal tragisch, mal gelungen, mal nicht so

    Die abwechslungsreichste Science-Fiction-Serie unserer Zeit ist wieder da - mit acht neuen Folgen der von David Fincher produzierten Anthologie-Reihe.
    Von Peter Osteried

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Borderlands 3 gratis • CW: Top-Rabatte auf PC-Komponenten • Inno3D RTX 3070 günstig wie nie: 614€ • Ryzen 9 5900X 398€ • Top-Laptops zu Tiefpreisen • Edifier Lautsprecher 129€ • Kingston SSD 2TB günstig wie nie: 129,90€ • Samsung Soundbar + Subwoofer günstig wie nie: 228,52€ [Werbung]
    •  /