Update: Mangelnde App-Sicherheit

So stiehlt man einen Tesla

| Redakteur: Peter Schmitz

Cyberkriminelle können durch das Ausnutzen von Sicherheitslücken in Smartphones und mangelnder Sicherheit in Teslas Smartphone-App die Kontrolle über die Fahrzeuge des Unternehmes an sich bringen.
Cyberkriminelle können durch das Ausnutzen von Sicherheitslücken in Smartphones und mangelnder Sicherheit in Teslas Smartphone-App die Kontrolle über die Fahrzeuge des Unternehmes an sich bringen. (Bild: Tesla)

Teslas Smartphone-App lässt sich von Cyberkriminellen hacken, die so die Kontrolle über das Fahrzeug erlangen können. Damit sind sie in der Lage, das Auto ausfindig zu machen, aufzuschließen und ungehindert wegzufahren. Das zeigt ein Test des norwegischen Sicherheitsunternehmens Promon.

Der von Promon durchgeführte Test zeigt, dass Cyberkriminelle durch Ausnutzen fehlender Sicherheit in Teslas Smartphone-App die Kontrolle über die Fahrzeuge des Unternehmens erlangen können.

Experten des auf Anwendungssicherheit spezialisierten Unternehmens zeigen in einem Video, wie sie vollständige Kontrolle über das Tesla-Auto erlangen konnten. Sie konnten ausfindig machen, wo das Auto geparkt war, konnten die Tür öffnen und die Keyless-Drive-Funktion aktivieren. Der entscheidende Punkt dabei ist, dass all dies durch den Angriff und die Übernahme der Kontrolle der Tesla-App möglich war. Das macht deutlich, wie wichtig hieb- und stichfeste App-Sicherheit ist und wie weitreichend die Folgen für IoT-verbundene Geräte im Allgemeinen sein können.

Tom Lysemose Hansen, Gründer und CTO von Promon, kommentiert: „Im Rahmen des jüngsten Tests nutzte ‘Keen Security Labs’ Fehler im CAN-Bussystem der Tesla-Autos aus und übernahmen die Kontrolle über eine begrenzte Anzahl an Funktionen. Unser Test ist der erste, bei dem die Tesla-App als Einstiegspunkt verwendet wird. Und er geht einen Schritt weiter, denn er zeigt, dass eine kompromittierte App direkt zum Diebstahl eines Autos führen kann.“

Smartphone-Schwachstelle als Angriffspunkt

Eine Methode, mit der Cyberkriminelle dafür sorgen können, dass der Hack funktioniert, ist die Einrichtung eines Wi-Fi-Hotspots, am besten in der Nähe einer öffentlichen Tesla-Ladestation. Wenn Tesla-Nutzer sich einloggen und eine Seite besuchen, erscheint eine an die Fahrzeugbesitzer gerichtete Werbeanzeige, die ein Incentive, wie ein kostenloses Essen, anbietet. Klickt man diesen Link an und lädt die dazugehörige App herunter, können Hacker Root-Zugriff auf das Mobilgerät des Nutzers erlangen, was ihnen dann möglich macht, die Tesla App zu übernehmen. Den Angriff ermöglicht natürlich eine Schwachstelle in der Smartphone-Sicherheit, über die sich theoretisch jede unsichere App ausnutzen lässt. Die aus der Ferne kontrollierten und gestohlenen Tesla-Autos sind ein besonders gefährliches Beispiel dafür, was möglich ist. Theoretisch könnte aber jede App, die nicht über die erforderlichen Sicherheitsvorkehrungen verfügt, betroffen sein.

Laut Hansen ist die Leichtigkeit, mit der technisch versierte Kriminelle auf diese Weise ein Tesla-Auto stehlen können, bezeichnend für die Notwendigkeit, bei allen IoT-verbundenen Geräten und Anwendungen den Fokus stärker auf App-interne Sicherheit zu richten. Und er ergänzt: „Auf Mobilgeräte ausgerichtete Kriminelle sind qualifizierter denn je und nutzen die fehlende Sicherheit in mobilen Apps als zunehmend lukrative Einkommensquelle.

„Die Umsetzung dieser App-Sicherheit sollte für jedes Unternehmen mit einer App eine Priorität darstellen, die sensible Nutzerdaten enthält. Ein Weg dorthin ist die Einführung sich selbst verteidigender App-Software, welche die App von innen nach außen schützt und die Wahrscheinlichkeit eines Cyberangriffs erheblich verringert.

„Tesla hat sich von den physischen Geräten (von einem ‚physikalischen‘ Schlüssel zu einem ‚mobilen Schlüssel‘) zur Türöffnung verabschiedet und geht damit im Wesentlichen den gleichen Weg wie Banken und die Finanzbranche, in der physische Tokens durch ‚mobile Tokens‘ ersetzt wurden. Deshalb sind wir überzeugt, dass Tesla und die Automobil-Industrie auch ein vergleichbares Sicherheitsniveau bieten müssen (wie bei den für die Authentifizierung verwendeten ‘mobilen Tokens’), was heute sicherlich noch nicht der Fall ist.“

Promon arbeitet bei der Bewältigung dieser Sicherheitsprobleme mit den Apps eng mit Tesla zusammen, um sie zu beheben.

Abschließend fügt Hansen an: „Tesla ist ein leuchtendes Beispiel dafür, wie technologische Fortschritte ein beispielloses Niveau an Innovation und Nutzerfreundlichkeit liefern können. Die zunehmend App-orientierte Welt muss jedoch dringend gesichert werden, um zu verhindern, dass Kriminelle ihre Möglichkeiten in großem Maßstab nutzen können.“

Update 28.11.16: Promon konkretisiert Vorwürfe

In Medien und Kommentaren wurde Promon, das die Sicherheitsprobleme aufgedeckt hatte, vorgeworfen, Smartphone- bzw. Android-Sicherheitslücken Tesla anzulasten. Der Tenor ist: Der Angriff hätte auf jede App erfolgen können. Das stimmt grundsätzlich, wie Promon in einer Konkretisierung des ursprünglichen Blogposts bestätigt, aber auch darauf hinweist, dass Tesla es mit der App Angreifern aber eben auch nicht wirklich schwer mache.

Tom Lysemose Hansen, Gründer und CTO von Promon betont dazu: „Durch das Grundrisiko bei Android benötigt ein Cyberkrimineller derzeit nur gering ausgebildete technische Fähigkeiten und muss außerdem nur wenig Aufwand betreiben, um einen Angriff, wie wir ihn vorgeführt haben, durchzuführen. Wenn Tesla sich an die Best Practise-Erfahrungen der IT-Sicherheit gehalten hätte, darunter Schutzmaßnahmen in der App, hätte es wesentlich höherer technischer Fähigkeiten und deutlich mehr Aufwand erfordert, um einen solchen Angriff durchzuführen.“

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44398583 / Mobile Security)