Sicherheitslücke bei Tesla ermöglicht Diebstahl

Tesla-Fahrer sollten beim Einloggen in das WLAN-Netz von Supercharger-Ladeparks vorsichtig sein. Schon mit einfachsten Mitteln könnten Kriminelle die Fahrzeugpasswörter und letztlich das komplette Fahrzeug stehlen. Wie das geht, haben die IT-Sicherheitsforscher Tommy Mysk und Talal Haj Bakry in einem YouTube-Video und ihrem eigenen Blog erläutert.

Kostenlose WLAN-Netzwerke meiden

Der US-Autohersteller Tesla stellt seinen Kunden an vielen Standorten unter der Bezeichnung "Tesla Guest" kostenloses Internet für das Handy zur Verfügung, um die Wartezeit während des Ladens zu verkürzen. Dies bietet Kriminellen ein leichtes Spiel. Nach eigenen Angaben haben die beiden Sicherheitsforscher mithilfe eines simplen Hardwaretools neben einer Ladestation ein gefälschtes "Tesla Guest"-WLAN-Netzwerk mit entsprechender Website generiert. Die Hacker hoffen, dass die Opfer ihre Daten eingeben, um sich an dem Tesla Supercharger mit einem scheinbar von Tesla zur Verfügung gestellten kostenlosen WLAN-Netzwerk zu verbinden. Loggen sich Teslafahrer mit ihren Zugangsdaten in das gefälschte Netzwerk ein, können Kriminelle diese auslesen und sich selbst Zugang zur Smartphone-App des Fahrzeugnutzers verschaffen. Dieses sogenannte Phishing ist unter anderem von Online-Banking-Apps bekannt. Über die gehackte Tesla-App lässt sich nicht nur dauerhaft der Fahrzeugstandort nachverfolgen, sondern nach Angaben von Mysk auch ein digitaler Fahrzeugschlüssel kreieren. Wer diesen besitzt, kann das Auto auch ohne Tesla-Keycard jederzeit öffnen, starten und losfahren.

Hinzu kommt, dass die Tesla-App keine Informationen darüber vermittelt, wie viele aktive Sitzungen ein Benutzer hat. Selbst wenn der Tesla-Besitzer einen seltsamen Smartphoneschlüssel auf dem Tesla-Touchscreen entdeckt, wird durch das Entfernen dieses unerwünschten Smartphoneschlüssels die Sitzung der mit dem Schlüssel verknüpften App nicht beendet. So kann der Hacker weiterhin Live-Informationen über das Fahrzeug erhalten und den Schlüssel jederzeit wieder aktivieren.

Gegenmaßnahmen bisher nicht erfolgt

Die beiden Sicherheitsforscher weisen darauf hin, dass Tesla-Fahrzeuge eindeutig anfällig für Phishing- und Social-Engineering-Angriffe sind und empfehlen die folgenden Abhilfemaßnahmen: Tesla soll die Schlüsselkarten-Authentifizierung für das Hinzufügen neuer Telefonschlüssel obligatorisch machen und die Besitzer benachrichtigen, wenn neue Schlüssel hinzugefügt werden.

Nach eigenen Angaben haben die beiden Sicherheitsforscher die Schwachstelle bereits an Tesla gemeldet. Der Fahrzeughersteller sehe hier jedoch keinen Handlungsbedarf und zeige sich recht abweisend, erklärt Mysk im Video. In der Bedienungsanleitung wird laut Tesla nicht erwähnt, dass eine Schlüsselkarte erforderlich ist, um einen Smartphone-Schlüssel hinzuzufügen.

Redaktion finanzen.at