[datensicherheit.de, 25.11.2016] Nach Angaben von Promon aus Norwegen zeigt eine aktuelle eigene Studie, dass Cyber-Kriminelle durch Ausnutzen fehlender Sicherheit in Teslas Smartphone-App die Kontrolle über die Fahrzeuge des Unternehmens erlangen können. Damit seien sie in der Lage, das Auto ausfindig zu machen, aufzuschließen und ungehindert wegzufahren. Ein solcher Hack gebe Kriminellen die völlige Kontrolle über das Auto und biete Funktionalitäten, welche die von Keen Security Labs im Rahmen eines anderen Hacks Ende September 2016 aufgedeckten ergänzten.

Kriminelle gewinnen völlige Kontrolle über das Auto

Ein eigens von Promon produziertes Video zeigt, dass Experten des Unternehmens in der Lage waren, die vollständige Kontrolle über das Tesla-Auto zu erlangen. Sie konnten demnach ausfindig machen, wo das Auto geparkt war, konnten die Tür öffnen und die Keyless-Drive-Funktion aktivieren.
Der entscheidende Punkt dabei sei, dass all dies durch den Angriff und die Übernahme der Kontrolle der Tesla-App möglich gewesen sei. Dies mache deutlich, wie wichtig hieb- und stichfeste App-Sicherheit sei und wie weitreichend die Folgen für IoT-verbundene Geräte im Allgemeinen sein könnten.

Kompromittierte App führt direkt zum Diebstahl eines Autos

„Im Rahmen der jüngsten Studie nutzte ‘Keen Security Labs’ Fehler im CAN-Bussystem der Tesla-Autos aus und übernahmen die Kontrolle über eine begrenzte Anzahl an Funktionen. Unser Test ist der erste, bei dem die Tesla-App als Einstiegspunkt verwendet wird. Und er geht einen Schritt weiter, denn er zeigt, dass eine kompromittierte App direkt zum Diebstahl eines Autos führen kann,“ erläutert Tom Lysemose Hansen, Gründer und „CTO“ von Promon.

Einrichtung eines Wi-Fi-Hotspots in der Nähe einer Tesla-Ladestation

Eine Methode, mit der Cyber-Kriminelle dafür sorgen könnten, dass der Hack funktioniert, sei die Einrichtung eines Wi-Fi-Hotspots, am besten in der Nähe einer öffentlichen Tesla-Ladestation.
Wenn Tesla-Nutzer sich einloggen und eine Seite besuchen, erscheine eine an die Fahrzeugbesitzer gerichtete Werbeanzeige, die ein Incentive, wie ein kostenloses Essen, anbiete. Klickt man diesen Link an und lädt die dazugehörige App herunter, könnten Hacker Root-Zugriff auf das Mobilgerät des Nutzers erlangen, was ihnen dann möglich mache, die Tesla-App zu übernehmen.

Fokus stärker auf App-interne Sicherheit richten!

Laut Hansen ist die Leichtigkeit, mit der technisch versierte Kriminelle auf diese Weise ein Tesla-Auto stehlen können, bezeichnend für die Notwendigkeit, bei allen IoT-verbundenen Geräten und Anwendungen den Fokus stärker auf App-interne Sicherheit zu richten.
Auf Mobilgeräte ausgerichtete Kriminelle seien qualifizierter denn je und nutzten die fehlende Sicherheit in mobilen Apps als zunehmend lukrative Einkommensquelle, so Hansen. Die aus der Ferne kontrollierten und gestohlenen Tesla-Autos seien „ein besonders gefährliches Beispiel dafür, was möglich ist“. Theoretisch könnte aber jede App, die nicht über die erforderlichen Sicherheitsvorkehrungen verfügt, betroffen sein.
Die Umsetzung dieser App-Sicherheit sollte für jedes Unternehmen mit einer App eine Priorität darstellen, die sensible Nutzerdaten enthält. Ein Weg dorthin sei die Einführung sich selbst verteidigender App-Software, welche die App von innen nach außen schütze und die Wahrscheinlichkeit eines Cyber-Angriffs erheblich verringere.

Zunehmend App-orientierte Welt muss dringend gesichert werden!

Tesla habe sich von den physischen Geräten (von einem „physikalischen“ Schlüssel zu einem „mobilen Schlüssel“) zur Türöffnung verabschiedet und gehe damit im Wesentlichen den gleichen Weg wie Banken und die Finanzbranche, in der physische Tokens durch „mobile Tokens“ ersetzt würden.
„Deshalb sind wir überzeugt, dass Tesla und die Automobil-Industrie auch ein vergleichbares Sicherheitsniveau bieten müssen (wie bei den für die Authentifizierung verwendeten ,mobilen Tokens‘), was heute sicherlich noch nicht der Fall ist“, erläutert Hansen.
Promon arbeite bei der Bewältigung dieser Sicherheitsprobleme mit den Apps eng mit Tesla zusammen, um sie zu beheben. Hansen: „Tesla ist ein leuchtendes Beispiel dafür, wie technologische Fortschritte ein beispielloses Niveau an Innovation und Nutzerfreundlichkeit liefern können. Die zunehmend App-orientierte Welt muss jedoch dringend gesichert werden, um zu verhindern, dass Kriminelle ihre Möglichkeiten in großem Maßstab nutzen können.“

Weitere Informationen zum Thema:

Promon, 23.11.2016
Blog / Tesla cars can be stolen by hacking the app

datensicherheit.de, 24.04.2016
Sicherheitslösungen für Industrie 4.0 auf der Hannover Messe 2016

[datensicherheit.de, 01.09.2012] Die Einführung von Microsofts Windows 8 bringt erhöhte Sicherheitsrisiken mit sich, da Applikationen nun auch auf neuen Endgeräten zur Verfügung stehen, die nicht gegen moderne Cybercrime-Angriffe abgesichert werden können. Mit der Einführung von Shield für Windows 8 stellt Promon einen Sicherheitsmechanismus vor, der Programme auf Windows 8 gegen Trojaner, Keylogger, «man-in-the-browser» und andere Sicherheitsbedrohungen, die Nutzerdaten stehlen oder manipulieren, schützt.
Traditionelle Sicherheitslösungen, wie Antivirus und Antimalware, versuchen das Endgerät zu schützen (PC, MAC, Smartphone). Moderne Cyber-Kriminelle greifen jedoch gezielt Programme auf dem Endgerät an. Dies hat zur Konsequenz, dass die traditionellen Sicherheitslösungen nicht gegen neue Bedrohungen wie Trojaner-, Keylogger-, «man-in-the-browser-» Angriffe schützen. Promon hat eine Technologie entwickelt und patentiert, die es ermöglicht, Programme unabhängig vom Endgerät abzusichern.
„Die meisten Nutzer wünschen sich, Online-Banking, Browser, Email oder andere Programme, die im Arbeitsleben gebraucht werden, unabhängig vom Zeitpunkt, vom Zugriffsort oder vom Endgerät zu nutzen. Der Trend zu BYOD (Bring Your Own Device) wird durch Windows 8 erheblich beschleunigt, da Windows Programme nun von neuen Endgeräten genutzt werden können. Das Windows Betriebssystem und die dazugehörigen Programme sind damit einer deutlich höheren Bedrohung durchmoderne Angriffe von Cyber-Kriminellen ausgesetzt. Durch die Einführung von Windows 8 wächst der Cybercrime-Markt erheblich.” so Jan Søgaard, Geschäftsführer von Promon AS.

„Promon Shield für Windows 8 bietet die gleichen Schutzmechanismen, welche schon im Sichersten Online Banking Programm der Welt (Computerbild) StarMoney zum Einsatz kommen. Promons Marktposition wird durch die Einführung von Windows 8 sowie durch den Einsatz neuer Endgeräte erheblich gestärkt. Es wird nun noch wichtiger, sicheren Zugriff auf Programme und Web-Services zu gewährleisten – unabhängig vom Endgerät. In diesem Segment ist Promons Technologie einzigartig – es gibt keine konkurrierenden Lösungen.” erläutert Tom Lysemose Hansen, CTO von Promon AS.