Die Kontrolle und Steuerung wichtiger Auto-Funktionen, wie sie viele Hersteller schon seit einigen Jahren per App bieten, offeriert viele Möglichkeiten – auch für Hacker. Wie der Security-Experte und Autor Nitesch Dhanjani berichtet, lässt sich der elektrisch angetriebene Sportwagen Tesla S P85+ von Fremden aufsperren. Nötig ist hierzu nur das Überwinden eines Passwort-Schutzes in der Tesla-App.

Dhanjani beschreibt, dass lediglich ein sechsstelliges Passwort den Tesla S vor fremdem Zugriff schützt. Der Käufer muss dieses bei der Bestellung des Wagens angeben, wenn der unter Teslamotors.com einen Account anlegt.

Wird der Wagen geliefert, lassen sich Funktionen wie die Türschlösser per iOS-App steuern. Auch den Standort des Wagens zeigt die App an. Dabei wird zum Schutz vor fremdem Zugriff das zuvor angelegte Kundeprofil samt selbstgewähltem Passwort verwendet.

Dieses lässt sich dem Experten zufolge zum Beispiel per Brute-Force-Angriff herausfinden – einen Schutz vor mehrfachen Fehlversuchen bietet Tesla nicht. Die Daten lassen sich ebenfalls durch einen Phishing-Angriff sammeln. Auch durch Passwort-Leaks auf anderen unsicheren Seiten können Angreifer an Login und Passwort für den Tesla gelangen, wenn der Besitzer das Passwort auf mehreren Seiten verwendet. Denkbar ist zudem, dass das Passwort in fremde Hände fällt, wenn der Angreifer zuvor den E-Mail-Account des Opfers übernommen hat und anschließend den auf E-Mail basierenden Passwort-Reset ausführt.

Auch die REST-API, über die die App mit anderen Anwendungen Daten austauschen kann, könnte als Einfallstor dienen. Laut Dhanjani kann der Anbieter der Fremd-App Nutzernamen und Passwort des Tesla-Besitzers im Klartext erhalten. Der Experte rät Tesla-Besitzern dazu, keine Tesla-Anwendungen von Drittanbietern zu benutzen.

Sollte jemand den Session-Token, den die Tesla-App als Cookie bei einer erfolgreichen Anmeldung setzt und der drei Monate gültig ist, vom iPhone des Fahres kopieren, hat der Unbekannte ebenfalls Zugriff auf das Fahrzeug. Das iPhone mit der App sollte nicht in falsche Hände geraten und entsprechend gut abgesichert sein, rät Dhanjani.

Dhanjani hofft, das Tesla die genannten Sicherheitsrisiken ernst nimmt und die digitale Sicherheit des Fahrzeugs in Kürze überarbeitet. Einen Trost haben Tesla-Fahrer bis dahin: Der Diebstahl der Elektro-Fahrzeuge ist nur per Passworteingabe nicht möglich. Hierzu ist in jedem Fall noch der Schlüssel nötig.

Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.