Autos sind so smart wie noch nie. In jedem Fahrzeug stecken mittlerweile viele Sensoren und natürlich auch eine Recheneinheit, die während der Fahrt gewonnene Daten wie die zurückgelegte Strecke, Geschwindigkeit, Innentemperatur, Batterieladestand, welche Musik man gehört hat oder auch wie oft Fahrassistenzsysteme eingegriffen haben, sammelt und auswertet. Wer einen Tesla besitzt, kann beispielsweise mit einer App sein Fahrzeug vor der nächsten Fahrt im Sommer vorklimatisieren oder sein Smartphone als Schlüssel verwenden. Das ist verlockend, aber bringt auch Gefahren mit sich.
Einem 19-Jährigen namens David Colombo aus Bayern ist es gelungen, sich Zugang zu mehreren Tesla-Fahrzeugen zu verschaffen (Wie er genau vorgegangen ist, kann man in diesem Interview erfahren). Dazu musste er noch nicht einmal vor Ort sein. Ganz entspannt aus seinem Wohnzimmer hätte er mit seinem Laptop das Sicherheitssystem, den Sentry Mode, von verschiedenen Teslafahrzeugen weltweit deaktivieren können. Unter anderem hatte er Zugriff auf die Türverriegelung, das Kamerasystem, die Hupe als auch das Radio und vielen weiteren Funktionen. Weiterhin konnte er auch sensible Daten wie den Batterie-Ladestatus, die in den letzten Jahren zurückgelegte Strecke, wo das Fahrzeug gerade parkt, wo der Fahrer im Urlaub war oder ob er gerade anwesend ist, auslesen.
Laut Colombo wäre es ihm auch möglich gewesen, die Standorte der kompromittierten Teslafahrzeuge zunächst zu identifizieren, die Türen zu öffnen und dann das Auto vor Ort per Keyless Driving, zu starten. Da es dem 19-Jährigen klar war, dass es bestimmt noch weitere unwissende Teslafahrer gab, die von dieser Sicherheitslücke betroffen waren, wollte er diese so schnell wie möglich warnen. Colombo war es aber nicht möglich die Fahrzeuge den Besitzern zuzuordnen. So wusste er zwar beispielsweise genau, wo die entsprechenden Teslas parken aber nicht, wem diese gehören. Da er keine Möglichkeit darin sah, an die Namen der Besitzer zu kommen, wandte er sich an Twitter: "So, I now have full remote control of over 20 Tesla’s in 10 countries and there seems to be no way to find the owners and report it to them…"
Durch LinkedIn und auch Google konnte er auf gut Glück einige Teslabesitzer identifizieren. Unter anderem konnte er einen CTO kontaktieren, da dieser noch ein paar Tage zuvor von seinem neuen Tesla-Fahrzeug aus auf Twitter gepostet hatte. Dieser wirkte zunächst aber sehr skeptisch und glaubte ihm nicht. Nachdem Colombo ihm aber den Standort und Namen des Teslas durchgeben konnte, nahm ihn dieser dann doch ernst.
Mit Einverständnis der Besitzer betätigte er die Hupe eines Teslas per Fernzugriff. Anschließend erklärte er den Besitzern, wie sie die Schwachstelle schließen können. Die gute Nachricht ist: Der Fehler liegt nicht in der Tesla-Software, sondern bei einem Drittanbieter namens „TeslaMate“.
Die während einer Fahrt gewonnenen Daten können mithilfe des Open-Source-Datalogger „TeslaMate“ in Form von Statistiken und Reports visualisiert werden. Hier gibt es beispielsweise Dashboards für Ladevorgänge, Fahrverhalten, Reifendruck, Lichtverhältnisse und den Stromverbrauch. Die Daten können dann in einem hauseigenen Netzwerk, beispielsweise mit einem Raspberry Pi gesichert werden. „TeslaMate“ gehört nicht zur Standard-Software-Ausstattung eines Teslas und muss vom Besitzer selbstständig installiert werden. Der Quellcode als auch wie das Ganze eingerichtet und betrieben werden kann, ist unter github einsehbar.
„TeslaMate“ greift auf die im Tesla gewonnenen Daten über die Tesla-Schnittstelle zu. Das Problem war nun, dass sensible Zugangsinformationen in „TeslaMate“ auf unsichere Weise gespeichert wurden und von anonymen, nicht autorisierten Benutzern hätten direkt abgegriffen werden können. Genauer gesagt, ist der junge Sicherheitsexperte an ein unverschlüsseltes Zugriffs-Token gekommen, das ihn für Tesla-Schnittstellen-Aufrufe autorisiert. Über die frei verfügbare Dokumentation der Drittanbieter-Software fand er heraus, dass die Standard-Zugangsdaten von “TeslaMate” sowohl für Passwort als auch Benutzername “admin” lauteten. In Hackerkreisen ist dies mittlerweile ein Insider-Witz. Wer vor einer Login-Seite steht und keine Kenntnis von Benutzername und Passwort hat, probiert diese Kombination meist als Erstes aus. Zu seinem Erschrecken wurden die Standard-Login-Daten nicht geändert und er konnte sich Zugang zum Dashboard verschaffen.
Das Token lag hier unverschlüsselt in der gleichen Datenbank vor, die auch zur Speicherung der personenbezogenen Daten der verschiedenen Tesla-Fahrer genutzt wurde. Dieses braucht man, um sich gegenüber gewissen Diensten in einem System für bestimmte Aktionen zu autorisieren.
Vergleichsweise kann man sich ein Token analog wie folgt vorstellen: Nachdem man als Reisender durch das Personal am Flughafen erfolgreich authentifiziert wurde, bekommt man ein Flugticket, das den Handlungsspielraum wie die Klasse und den Sitzplatz festlegt. Das Flugticket schränkt unsere Rolle als Reisender also ein und autorisiert bzw. berechtigt einen dann wie das Token zu gewissen Diensten in einem Flugzeug oder allgemein einem System.
Mit diesem Token war Colombo nun autorisiert entsprechende Befehle an die Teslafahrzeuge zu senden, die dann auch verarbeitet und ausgeführt wurden und so konnte er beispielsweise per Fernzugriff die Hupe, die Fenster und viele weitere Funktionen der Teslafahrzeuge betätigen.
Zunächst hatte Colombo nur Zugriff auf vereinzelte Fahrzeuge, konnte aber mithilfe eines Python-Skripts automatisiert hunderte weiterer solcher Zugriffs-Token abgreifen. Teslas Sicherheitsteam als auch die Entwickler von “TeslaMate” haben nach der Meldung auf Twitter auf den Vorfall reagiert. Die Besitzer der kompromittierten Teslafahrzeuge wurden identifiziert und die Sicherheitslücke geschlossen. In diesem Zuge wurden tausende solcher Zugriffs-Token ungültig gemacht. Viele Tesla-Besitzer mussten sich daher neu einloggen. Die Schwachstelle wurde sogar mit einem Score von 9,8, was einer kritischen Schwachstelle entspricht, in die CVE-Liste von dem National Institute of Standards and Technology (NIST) aufgenommen.
Unabhängig bei wem nun die Schuld liegt, zeigt der Vorfall, wie wichtig der Faktor Mensch bei solchen komplexen Systemen ist. In diesem Fall entstand die Schwachstelle, weil die Besitzer selbstständig eine Drittanbieter-Software installierten, die dann ausgenutzt werden konnte. Natürlich versucht Tesla solche Sicherheitslücken zu schließen bzw. gar nicht erst zuzulassen. Es ist aber auch wichtig, sich bewusst zu machen, dass man als Mensch ebenso ein Angriffsziel ist. Dies kann nicht nur im privaten Bereich, sondern auch für Firmen gefährlich sein.
Um mögliche Gefahren durch den Risikofaktor Mensch schon frühzeitig in Ihrem Unternehmen zu identifizieren, bietet syracom verschiedene Lösungen im Bereich IT-Security an. Wir analysieren unterschiedliche Sicherheitsaspekte und versuchen mögliche Schlupflöcher zu schließen, um so Sicherheitsvorfälle schon frühzeitig zu vermeiden. Seien Sie Hackern einen Schritt voraus, indem Sie noch heute Ihr Unternehmen sicherer gestalten.
Dieser Blogbeitrag wurde von Matthias Kunz in Zusammenarbeit mit Philipp Merchel erstellt. Philipp Merchel ist Teil des IT-Security-Teams bei syracom und interessiert sich besonders für die Themen Cybersecurity und Cyber Resilience.
Matthias Kunz absolvierte eine Bankausbildung und studierte an der Technischen Universität Darmstadt Wirtschaftsinformatik auf Diplom. Nach 15 Jahren Arbeitserfahrung in der Bankenbranche wechselte Matthias Kunz zu syracom in die Beratung, wo er als Banken- und Digitalisierungsexperte und nicht zuletzt auch als Blockchain-Experte das Unternehmen und die Projekte unserer Kunden aktiv mitgestaltet.
Dieser Blogpost wurde bisher 3471 mal aufgrufen.
Blogpost teilen
Aktuelle Themen frisch aus dem Kopf. Wir freuen uns diese mit Ihnen zu teilen und zu diskutieren.