24-11-2016 Gedruckt am 24-03-2017 aus www.monitor.co.at/index.cfm/storyid/17043

Tesla-Diebstahl durch Hacken der App

Einen Tesla zum Mitnehmen, bitte

Ein von Promon, einem norwegischen Unternehmen für Anwendungssicherheit, durchgeführter Versuch zeigt, dass man durch das Ausnutzen fehlender Sicherheit in Android und Teslas Smartphone-App die Kontrolle über das Fahrzeug erlangen kann. Damit sind IT-versierte Autoknacker in der Lage, es ausfindig zu machen, aufzuschließen und ungehindert wegzufahren. Ein solcher Hack gibt Kriminellen die völlige Kontrolle über das Auto und bietet Funktionalitäten, die die von Keen Security Labs im Rahmen eines anderen Hacks Ende September aufgedeckten ergänzen.

CC0 Public Domain - pixabay.com

 Wie in einem von Promon produzierten Video gezeigt, waren Experten des Unternehmens in der Lage, die vollständige Kontrolle über einen Tesla zu erlangen. Sie konnten ausfindig machen, wo das Auto geparkt war, konnten die Tür öffnen und die Keyless-Drive-Funktion aktivieren. Der entscheidende Punkt dabei ist, dass all dies durch den Angriff und die Übernahme der Kontrolle der Tesla-App möglich war. Das macht deutlich, wie wichtig hieb- und stichfeste App-Sicherheit ist und wie weitreichend die Folgen für IoT-verbundene Geräte im Allgemeinen sein können.
 
 
Tom Lysemose Hansen, Gründer und CTO von Promon, kommentiert: "Im Rahmen der jüngsten Studie nutzte 'Keen Security Labs' Fehler im CAN-Bussystem der Tesla-Autos aus und übernahmen die Kontrolle über eine begrenzte Anzahl an Funktionen. Unser Test ist der erste, bei dem die Tesla-App als Einstiegspunkt verwendet wird. Und er geht einen Schritt weiter, denn er zeigt, dass eine kompromittierte App direkt zum Diebstahl eines Autos führen kann."
 
Eine Methode, mit der Cyberkriminelle dafür sorgen können, dass der Hack funktioniert, ist die Einrichtung eines Wi-Fi-Hotspots, am besten in der Nähe einer öffentlichen Tesla-Ladestation. Wenn Tesla-Nutzer sich einloggen und eine Seite besuchen, erscheint eine an die Fahrzeugbesitzer gerichtete Werbeanzeige, die ein Incentive, wie ein kostenloses Essen, anbietet. Klickt man diesen Link an und lädt die dazugehörige App herunter, können Hacker Root-Zugriff auf das Mobilgerät des Nutzers erlangen, was ihnen dann möglich macht, die Tesla App zu übernehmen. Das zeigt einmal mehr, dass beim Nutzer eine gehörige Portion Vorsicht und Hausverstand angebracht ist, wenn es um IT-Sicherheit geht.
 
Laut Hansen ist die Leichtigkeit, mit der technisch versierte Kriminelle auf diese Weise einen Tesla stehlen können, bezeichnend für die Notwendigkeit, bei allen IoT-verbundenen Geräten und Anwendungen den Fokus stärker auf App-interne Sicherheit zu richten. Und er ergänzt: "Auf Mobilgeräte ausgerichtete Kriminelle sind qualifizierter denn je und nutzen die fehlende Sicherheit in mobilen Apps als zunehmend lukrative Einkommensquelle. Die aus der Ferne kontrollierten und gestohlenen Tesla-Autos sind ein besonders gefährliches Beispiel dafür, was möglich ist. Theoretisch könnte aber jede App, die nicht über die erforderlichen Sicherheitsvorkehrungen verfügt, betroffen sein. Die Umsetzung dieser App-Sicherheit sollte für jedes Unternehmen mit einer App eine Priorität darstellen, die sensible Nutzerdaten enthält. Ein Weg dorthin ist die Einführung sich selbst verteidigender App-Software, welche die App von innen nach außen schützt und die Wahrscheinlichkeit eines Cyberangriffs erheblich verringert."
 
"Tesla hat sich von den physischen Geräten – von einem 'physikalischen' Schlüssel zu einem 'mobilen Schlüssel' – zur Türöffnung verabschiedet und geht damit im Wesentlichen den gleichen Weg wie Banken und die Finanzbranche, in der physische Tokens durch 'mobile Tokens' ersetzt wurden. Deshalb sind wir überzeugt, dass Tesla und die Automobil-Industrie auch ein vergleichbares Sicherheitsniveau bieten müssen, wie bei den für die Authentifizierung verwendeten 'mobilen Tokens’, was heute sicherlich noch nicht der Fall ist", so der Experte weiter
 
Promon arbeitet bei der Bewältigung dieser Sicherheitsprobleme eigenen Angaben zufolge eng mit Tesla zusammen, um sie zu beheben.
 
Abschließend fügt Hansen an: "Tesla ist ein leuchtendes Beispiel dafür, wie technologische Fortschritte ein beispielloses Niveau an Innovation und Nutzerfreundlichkeit liefern können. Die zunehmend App-orientierte Welt muss jedoch dringend gesichert werden, um zu verhindern, dass Kriminelle ihre Möglichkeiten in großem Maßstab nutzen können."
 
In einem Blog-Beitrag von Promon finden Sie weitere Informationen. So steht dort etwa auch zu lesen, dass es hauptsächlich die Security-Lücken in Android sind, die den Hack ermöglichen, sowie natürlich die Leichtgläubigkeit des Nutzers, der auf die Social-Engineering-Attacke hereinfällt. Nichtsdestotrotz führen sie auch Möglichkeiten an, mit denen App-Hersteller trotzdem für mehr Sicherheit sorgen könnten. Schließlich ist allein das Vertrauen darauf, dass der Nutzer auf keinen Trick hereinfällt, nur ein mäßiges Security-Konzept. Tesla selbst weist die Verantwortung von sich und verbreitet das folgende Statement: "Der Report und das Video demonstrieren keine Tesla-spezifischen Schwachstellen. Die Demonstration zeigt nur, was die meisten Menschen intuitiv wissen – wenn ein Smartphone gehackt wird, sind die Applikationen auf dem Telefon möglicherweise nicht mehr sicher. Die Forscher haben gezeigt, dass bekannte Social-Engineering-Techniken eingesetzt werden können um Leute dazu zu bringen, Malware auf ihren Android-Devices zu installieren, die ihr Telefon und alle Apps komromittieren kann – was auch die Tesla-App inkludiert. Tesla rät Usern, die aktuellste Version ihres mobilen Betriebssystems zu nutzen."
 
Der genutzte Exploit ist in aktuellen Versionen von Android auch tatsächlich bereits gepatcht, wie die Website electrek in einem kritischen Beitrag über den Hack erläutert. Jedoch was ist, wenn das genutzte Smartphone nicht mit Updates versorgt wird? Jeder Android Nutzer kann von der Update-Politik der Smartphone-Hersteller ein Liedchen singen. Insofern bleibt der schwarze Peter - ob gerechtfertigterweise oder nicht - wieder bei den App-Herstellern hängen.