Tesla-Auto: Laut Promon Diebstahl durch Hacken einer App möglich

Laut aktuelle Studie kann durch Ausnutzen fehlender Sicherheit in Smartphone-App Kontrolle über Fahrzeuge gewonnen werden

[datensicherheit.de, 25.11.2016] Nach Angaben von Promon aus Norwegen zeigt eine aktuelle eigene Studie, dass Cyber-Kriminelle durch Ausnutzen fehlender Sicherheit in Teslas Smartphone-App die Kontrolle über die Fahrzeuge des Unternehmens erlangen können. Damit seien sie in der Lage, das Auto ausfindig zu machen, aufzuschließen und ungehindert wegzufahren. Ein solcher Hack gebe Kriminellen die völlige Kontrolle über das Auto und biete Funktionalitäten, welche die von Keen Security Labs im Rahmen eines anderen Hacks Ende September 2016 aufgedeckten ergänzten.

Kriminelle gewinnen völlige Kontrolle über das Auto

Ein eigens von Promon produziertes Video zeigt, dass Experten des Unternehmens in der Lage waren, die vollständige Kontrolle über das Tesla-Auto zu erlangen. Sie konnten demnach ausfindig machen, wo das Auto geparkt war, konnten die Tür öffnen und die Keyless-Drive-Funktion aktivieren.
Der entscheidende Punkt dabei sei, dass all dies durch den Angriff und die Übernahme der Kontrolle der Tesla-App möglich gewesen sei. Dies mache deutlich, wie wichtig hieb- und stichfeste App-Sicherheit sei und wie weitreichend die Folgen für IoT-verbundene Geräte im Allgemeinen sein könnten.

Kompromittierte App führt direkt zum Diebstahl eines Autos

„Im Rahmen der jüngsten Studie nutzte ‘Keen Security Labs’ Fehler im CAN-Bussystem der Tesla-Autos aus und übernahmen die Kontrolle über eine begrenzte Anzahl an Funktionen. Unser Test ist der erste, bei dem die Tesla-App als Einstiegspunkt verwendet wird. Und er geht einen Schritt weiter, denn er zeigt, dass eine kompromittierte App direkt zum Diebstahl eines Autos führen kann,“ erläutert Tom Lysemose Hansen, Gründer und „CTO“ von Promon.

Einrichtung eines Wi-Fi-Hotspots in der Nähe einer Tesla-Ladestation

Eine Methode, mit der Cyber-Kriminelle dafür sorgen könnten, dass der Hack funktioniert, sei die Einrichtung eines Wi-Fi-Hotspots, am besten in der Nähe einer öffentlichen Tesla-Ladestation.
Wenn Tesla-Nutzer sich einloggen und eine Seite besuchen, erscheine eine an die Fahrzeugbesitzer gerichtete Werbeanzeige, die ein Incentive, wie ein kostenloses Essen, anbiete. Klickt man diesen Link an und lädt die dazugehörige App herunter, könnten Hacker Root-Zugriff auf das Mobilgerät des Nutzers erlangen, was ihnen dann möglich mache, die Tesla-App zu übernehmen.

Fokus stärker auf App-interne Sicherheit richten!

Laut Hansen ist die Leichtigkeit, mit der technisch versierte Kriminelle auf diese Weise ein Tesla-Auto stehlen können, bezeichnend für die Notwendigkeit, bei allen IoT-verbundenen Geräten und Anwendungen den Fokus stärker auf App-interne Sicherheit zu richten.
Auf Mobilgeräte ausgerichtete Kriminelle seien qualifizierter denn je und nutzten die fehlende Sicherheit in mobilen Apps als zunehmend lukrative Einkommensquelle, so Hansen. Die aus der Ferne kontrollierten und gestohlenen Tesla-Autos seien „ein besonders gefährliches Beispiel dafür, was möglich ist“. Theoretisch könnte aber jede App, die nicht über die erforderlichen Sicherheitsvorkehrungen verfügt, betroffen sein.
Die Umsetzung dieser App-Sicherheit sollte für jedes Unternehmen mit einer App eine Priorität darstellen, die sensible Nutzerdaten enthält. Ein Weg dorthin sei die Einführung sich selbst verteidigender App-Software, welche die App von innen nach außen schütze und die Wahrscheinlichkeit eines Cyber-Angriffs erheblich verringere.

Zunehmend App-orientierte Welt muss dringend gesichert werden!

Tesla habe sich von den physischen Geräten (von einem „physikalischen“ Schlüssel zu einem „mobilen Schlüssel“) zur Türöffnung verabschiedet und gehe damit im Wesentlichen den gleichen Weg wie Banken und die Finanzbranche, in der physische Tokens durch „mobile Tokens“ ersetzt würden.
„Deshalb sind wir überzeugt, dass Tesla und die Automobil-Industrie auch ein vergleichbares Sicherheitsniveau bieten müssen (wie bei den für die Authentifizierung verwendeten ,mobilen Tokens‘), was heute sicherlich noch nicht der Fall ist“, erläutert Hansen.
Promon arbeite bei der Bewältigung dieser Sicherheitsprobleme mit den Apps eng mit Tesla zusammen, um sie zu beheben. Hansen: „Tesla ist ein leuchtendes Beispiel dafür, wie technologische Fortschritte ein beispielloses Niveau an Innovation und Nutzerfreundlichkeit liefern können. Die zunehmend App-orientierte Welt muss jedoch dringend gesichert werden, um zu verhindern, dass Kriminelle ihre Möglichkeiten in großem Maßstab nutzen können.“

Weitere Informationen zum Thema:

Promon, 23.11.2016
Blog / Tesla cars can be stolen by hacking the app

datensicherheit.de, 24.04.2016
Sicherheitslösungen für Industrie 4.0 auf der Hannover Messe 2016