• Navigation
  • business
    • Digital Transformation Consulting
    • Finanzdienstleistungen
      • Emissionsprozesse
      • Sustainable Finance
      • Blockchain
      • Digital Banking
      • Regulatorik
      • Governance Risk Compliance
      • Zahlungsverkehr
    • Versicherungen
    • Automobil
  • efficiency
    • Geschäftsprozessoptimierung
      • Robotic Process Automation
    • Nachhaltigkeitsmanagement Consulting
      • Nachhaltigkeitsrisiken
      • Lieferkettensorgfaltspflichtengesetz
    • IT Security Consulting
      • Pentest
      • IT Security Check
    • Application Lifecycle Management
    • Projektmanagement
  • engineering
    • Solution Engineering
      • Agile Anwendungsentwicklung
      • Test und Qualitätssicherung
      • Anwendungsintegration
    • RSA Archer Suite | Anpassung und Implementierung
    • PINQ Case Management
    • PINQ for Charges
    • Atlassian Solution Partner
      • Atlassian Add-ons
  • company
    • Unternehmenskultur
    • Management
    • Kunden
    • Partner
    • Consileon-Gruppe
    • Nachhaltigkeit
      • CO2-Neutral
      • Corporate Governance
      • Soziales Engagement
    • Daten und Fakten
    • Standorte
  • career
    • Benefits
    • Arbeiten bei syracom
    • Ausbildung
    • Duales Studium
    • Studenten
      • Hochschulkooperationen
    • Berufseinsteiger
      • Traineeprogramm
    • Berufserfahrene
    • Stellenangebote
  • news
    • Events
    • BLOG
      • life@syracom
        • Frohe Weihnachten bei Zwerg Nase: syracom knackt die 50.000 km Marke
        • Servus Wiesn – endlich läuft’s wieder
        • Leuchtend. Dynamisch. Direkt aus unserer Mitte: Unser neuer Online Auftritt.
        • NCT-LAUFend gegen Krebs - Alleine. Zusammen!
        • Strahlende Kinderaugen zur Weihnachtszeit: syracom-Mitarbeiter erfüllen Wünsche
        • Endlich wieder vereint: Buddeln und Socializing im Rheingauer Wald
        • bee active for Zwerg Nase: syracom-Mitarbeiter sporteln für den guten Zweck
        • Kontrastprogramm Consulting: Von Weinbergen, Obstbäumen, Bienen und dem Wald
        • Auf dem Highway zur Hochschule: Win-win für Studierende und Unternehmen
        • Weihnachten: Die Zeit der Freude
        • „bee part of it“ - Mit IT-Studenten auf "Du und Du" in Sachen Berufseinstieg
        • „bee welcome“ - Prickelnde Begrüßung unserer neuen Mitarbeiter
        • Euro-Tour 2016: Von Breslau über Wiesbaden nach San Sebastián
        • Deutschlandstipendium: Die Macher von morgen begeistern
      • Atlassian Solution Partner
        • syracom-App Team Radar und wie es dazu kam
        • The last one turns off the light
        • Using Secure Login with Yubikey
        • Recap of AtlasCamp 2016
      • Banken
        • Nachhaltigkeitsdatenmanagement: die verzweifelte Suche nach dem richtigen Tool
        • Nachhaltigkeitsmanagement – ein echter Wettbewerbsvorteil
        • Nachhaltige Investitionen: Europäisches Parlament nimmt Taxonomie-Verordnung an
        • Blockchain-Technologie und Datenschutz
        • Bitcoin, Ethereum & Co
        • Blockchaininteresse weiter ungebremst
        • Zahlungsdiensterichtlinie
        • Robo Advisors - Revolution oder Evolution
        • Virtual Reality – mehr als nur Spielerei
        • Blockchaintechnologie - Potential für Disruption
        • VisualVest - neues Fintech der Union Investment
        • Der ganz normale Change-Wahnsinn
        • Nachfrage nach virtuellen Währungen weiterhin hoch
        • 6. D-A-CH Kongress für Finanzinformationen
        • Neues Derivateportal der DZ BANK
      • Digitale Transformation
      • Enterprise Integration
        • Adaptive Case Management im Cynefin Framework
        • ReConf 2016
      • IT Security
        • Das menschliche Betriebssystem hacken: Social Engineering
        • Supply Chain Attacks – Einbruch in die Software-Lieferkette
        • Hacking Tesla: Risikofaktor Mensch im Fokus
        • Cyber Security: Geben Sie Hackern keine Chancen
        • IT-Sicherheit und COVID-19: Wie sicher ist Ihr Unternehmen?
      • Prozessoptimierung
      • Solution Engineering
        • Warum Clean Architecture?
        • Digitalisierung von Geschäftsprozessen smart gelöst
      • Test und Qualitätssicherung
        • Einblicke auf dem German Testing Day
      • Zahlungsverkehr
        • Request to Pay: Was taugt der neue europäische Standard?
        • Payment-Trends der Zukunft: Chancen und Risiken
        • Instant Payments: Lösungen zur europaweiten Erreichbarkeit
        • Konsolidierung von TARGET2 und T2S – die Zeit läuft (ab?)
        • Umstellung auf ISO 20022 im Zahlungsverkehr: Hochkomplex und zeitkritisch
        • Instant Payments – eine Zahlmethode, welche die Banken zum Handeln zwingt
        • Die Konsolidierung von TARGET2 und T2S schreitet weiter voran
        • Central Liquidity Management - zentraler Bestandteil der Konsolidierung von TARGET2 und T2S
        • Instant Payment – Interoperabilität als Schlüssel zum Erfolg
        • TARGET2 - TARGET2/T2S Konsolidierung
        • Instant Payments: RT1 - erfolgreicher Start bei EBA CLEARING
        • TIPS: Geplantes Go-Live im November 2018
    • Publikationen
    • Presse
De | En
  • Home
  • news
  • BLOG
  • IT Security
  • Hacking Tesla: Risikofaktor Mensch im Fokus

Hacking Tesla: Risikofaktor Mensch im Fokus

21.Jun.2022 Matthias Kunz IT Security
Tesla parkt in der Wüste

Autos sind so smart wie noch nie. In jedem Fahrzeug stecken mittlerweile viele Sensoren und natürlich auch eine Recheneinheit, die während der Fahrt gewonnene Daten wie die zurückgelegte Strecke, Geschwindigkeit, Innentemperatur, Batterieladestand, welche Musik man gehört hat oder auch wie oft Fahrassistenzsysteme eingegriffen haben, sammelt und auswertet. Wer einen Tesla besitzt, kann beispielsweise mit einer App sein Fahrzeug vor der nächsten Fahrt im Sommer vorklimatisieren oder sein Smartphone als Schlüssel verwenden. Das ist verlockend, aber bringt auch Gefahren mit sich. 

19-Jähriger kapert Tesla-Autos

Einem 19-Jährigen namens David Colombo aus Bayern ist es gelungen, sich Zugang zu mehreren Tesla-Fahrzeugen zu verschaffen (Wie er genau vorgegangen ist, kann man in diesem Interview erfahren). Dazu musste er noch nicht einmal vor Ort sein. Ganz entspannt aus seinem Wohnzimmer hätte er mit seinem Laptop das Sicherheitssystem, den Sentry Mode, von verschiedenen Teslafahrzeugen weltweit deaktivieren können. Unter anderem hatte er Zugriff auf die Türverriegelung, das Kamerasystem, die Hupe als auch das Radio und vielen weiteren Funktionen. Weiterhin konnte er auch sensible Daten wie den Batterie-Ladestatus, die in den letzten Jahren zurückgelegte Strecke, wo das Fahrzeug gerade parkt, wo der Fahrer im Urlaub war oder ob er gerade anwesend ist, auslesen.  

Laut Colombo wäre es ihm auch möglich gewesen, die Standorte der kompromittierten Teslafahrzeuge zunächst zu identifizieren, die Türen zu öffnen und dann das Auto vor Ort per Keyless Driving, zu starten. Da es dem 19-Jährigen klar war, dass es bestimmt noch weitere unwissende Teslafahrer gab, die von dieser Sicherheitslücke betroffen waren, wollte er diese so schnell wie möglich warnen. Colombo war es aber nicht möglich die Fahrzeuge den Besitzern zuzuordnen. So wusste er zwar beispielsweise genau, wo die entsprechenden Teslas parken aber nicht, wem diese gehören. Da er keine Möglichkeit darin sah, an die Namen der Besitzer zu kommen, wandte er sich an Twitter: "So, I now have full remote control of over 20 Tesla’s in 10 countries and there seems to be no way to find the owners and report it to them…"

Durch LinkedIn und auch Google konnte er auf gut Glück einige Teslabesitzer identifizieren. Unter anderem konnte er einen CTO kontaktieren, da dieser noch ein paar Tage zuvor von seinem neuen Tesla-Fahrzeug aus auf Twitter gepostet hatte. Dieser wirkte zunächst aber sehr skeptisch und glaubte ihm nicht. Nachdem Colombo ihm aber den Standort und Namen des Teslas durchgeben konnte, nahm ihn dieser dann doch ernst.  

Mit Einverständnis der Besitzer betätigte er die Hupe eines Teslas per Fernzugriff. Anschließend erklärte er den Besitzern, wie sie die Schwachstelle schließen können. Die gute Nachricht ist: Der Fehler liegt nicht in der Tesla-Software, sondern bei einem Drittanbieter namens „TeslaMate“. 

Twitter App

Schwachstelle „TeslaMate“ 

Die während einer Fahrt gewonnenen Daten können mithilfe des Open-Source-Datalogger „TeslaMate“ in Form von Statistiken und Reports visualisiert werden. Hier gibt es beispielsweise Dashboards für Ladevorgänge, Fahrverhalten, Reifendruck, Lichtverhältnisse und den Stromverbrauch. Die Daten können dann in einem hauseigenen Netzwerk, beispielsweise mit einem Raspberry Pi gesichert werden. „TeslaMate“ gehört nicht zur Standard-Software-Ausstattung eines Teslas und muss vom Besitzer selbstständig installiert werden. Der Quellcode als auch wie das Ganze eingerichtet und betrieben werden kann, ist unter github einsehbar. 

„TeslaMate“ greift auf die im Tesla gewonnenen Daten über die Tesla-Schnittstelle zu. Das Problem war nun, dass sensible Zugangsinformationen in „TeslaMate“ auf unsichere Weise gespeichert wurden und von anonymen, nicht autorisierten Benutzern hätten direkt abgegriffen werden können. Genauer gesagt, ist der junge Sicherheitsexperte an ein unverschlüsseltes Zugriffs-Token gekommen, das ihn für Tesla-Schnittstellen-Aufrufe autorisiert. Über die frei verfügbare Dokumentation der Drittanbieter-Software fand er heraus, dass die Standard-Zugangsdaten von “TeslaMate” sowohl für Passwort als auch Benutzername “admin” lauteten. In Hackerkreisen ist dies mittlerweile ein Insider-Witz. Wer vor einer Login-Seite steht und keine Kenntnis von Benutzername und Passwort hat, probiert diese Kombination meist als Erstes aus. Zu seinem Erschrecken wurden die Standard-Login-Daten nicht geändert und er konnte sich Zugang zum Dashboard verschaffen.  

Das Token lag hier unverschlüsselt in der gleichen Datenbank vor, die auch zur Speicherung der personenbezogenen Daten der verschiedenen Tesla-Fahrer genutzt wurde.  Dieses braucht man, um sich gegenüber gewissen Diensten in einem System für bestimmte Aktionen zu autorisieren.  

Vergleichsweise kann man sich ein Token analog wie folgt vorstellen: Nachdem man als Reisender durch das Personal am Flughafen erfolgreich authentifiziert wurde, bekommt man ein Flugticket, das den Handlungsspielraum wie die Klasse und den Sitzplatz festlegt. Das Flugticket schränkt unsere Rolle als Reisender also ein und autorisiert bzw. berechtigt einen dann wie das Token zu gewissen Diensten in einem Flugzeug oder allgemein einem System. 

Mit diesem Token war Colombo nun autorisiert entsprechende Befehle an die Teslafahrzeuge zu senden, die dann auch verarbeitet und ausgeführt wurden und so konnte er beispielsweise per Fernzugriff die Hupe, die Fenster und viele weitere Funktionen der Teslafahrzeuge betätigen.

Lenkrad im Tesla

Fazit 

Zunächst hatte Colombo nur Zugriff auf vereinzelte Fahrzeuge, konnte aber mithilfe eines Python-Skripts automatisiert hunderte weiterer solcher Zugriffs-Token abgreifen. Teslas Sicherheitsteam als auch die Entwickler von “TeslaMate” haben nach der Meldung auf Twitter auf den Vorfall reagiert. Die Besitzer der kompromittierten Teslafahrzeuge wurden identifiziert und die Sicherheitslücke geschlossen. In diesem Zuge wurden tausende solcher Zugriffs-Token ungültig gemacht. Viele Tesla-Besitzer mussten sich daher neu einloggen. Die Schwachstelle wurde sogar mit einem Score von 9,8, was einer kritischen Schwachstelle entspricht, in die CVE-Liste von dem National Institute of Standards and Technology (NIST) aufgenommen.  

Unabhängig bei wem nun die Schuld liegt, zeigt der Vorfall, wie wichtig der Faktor Mensch bei solchen komplexen Systemen ist. In diesem Fall entstand die Schwachstelle, weil die Besitzer selbstständig eine Drittanbieter-Software installierten, die dann ausgenutzt werden konnte. Natürlich versucht Tesla solche Sicherheitslücken zu schließen bzw. gar nicht erst zuzulassen. Es ist aber auch wichtig, sich bewusst zu machen, dass man als Mensch ebenso ein Angriffsziel ist. Dies kann nicht nur im privaten Bereich, sondern auch für Firmen gefährlich sein.

Um mögliche Gefahren durch den Risikofaktor Mensch schon frühzeitig in Ihrem Unternehmen zu identifizieren, bietet syracom verschiedene Lösungen im Bereich IT-Security an. Wir analysieren unterschiedliche Sicherheitsaspekte und versuchen mögliche Schlupflöcher zu schließen, um so Sicherheitsvorfälle schon frühzeitig zu vermeiden. Seien Sie Hackern einen Schritt voraus, indem Sie noch heute Ihr Unternehmen sicherer gestalten. 

Dieser Blogbeitrag wurde von Matthias Kunz in Zusammenarbeit mit Philipp Merchel erstellt. Philipp Merchel ist Teil des IT-Security-Teams bei syracom und interessiert sich besonders für die Themen Cybersecurity und Cyber Resilience.

 

Autor

Autorenprofil Matthias Kunz

Matthias Kunz absolvierte eine Bankausbildung und studierte an der Technischen Universität Darmstadt Wirtschaftsinformatik auf Diplom. Nach 15 Jahren Arbeitserfahrung in der Bankenbranche wechselte Matthias Kunz zu syracom in die Beratung, wo er als Banken- und Digitalisierungsexperte und nicht zuletzt auch als Blockchain-Experte das Unternehmen und die Projekte unserer Kunden aktiv mitgestaltet.

Dieser Blogpost wurde bisher 1272 mal aufgrufen.

Blogpost teilen

Zurück zur Übersicht

INSIGHTS!

Aktuelle Themen frisch aus dem Kopf. Wir freuen uns diese mit Ihnen zu teilen und zu diskutieren.

Kategorie:

  • Atlassian Solution Partner
  • Banken
  • Digitale Transformation
  • Enterprise Integration
  • IT Security
  • life@syracom
  • Prozessoptimierung
  • Solution Engineering
  • Test und Qualitätssicherung
  • Zahlungsverkehr

Autor:

  • Alexander Küken
  • Christian Schaller
  • Frank Hoffmann
  • Hendrik Kurz
  • IT Security Team
  • Jan Fäth
  • Leif Gesinn
  • Manfred Freitag
  • Marketing Team
  • Matthias Kunz
  • Oliver Tornow
  • Philip Tauschek
  • Philipp Kramer
  • Roswitha Steier
  • Tom Acker

Tags:

  • #2FA
  • #ACM
  • #Adaptive Case Management
  • #Add-On
  • #Atlassian
  • #BPM
  • #Banken
  • #Beratung
  • #Bitcoin
  • #Blockchain
  • #Blockchaintechnologie
  • #BootCamp 2016
  • #Business Process Management
  • #Central Liquidity Management
  • #Cloud
  • #Consulting
  • #Cynefin
  • #Cynefin Framework
  • #Datenmanagement
  • #Digitalisierung
  • #Disruptive Technologie
  • #EBA
  • #ECB
  • #EZB
  • #Euro Tour
  • #Eurosystem
  • #Firmenkontakttag2016
  • #GRC
  • #Geschäftsprozesse
  • #ISO 20022
  • #Instant Payment
  • #Instant payments
  • #JIRA
  • #Konsolidierung
  • #Kryptowährung
  • #Line of Defense Modell
  • #Mitarbeitergewinnung
  • #Nachhaltigkeit
  • #Nachhaltigkeitsmanagement
  • #Online-Zahlungen
  • #Payment Service Directive
  • #Plugin
  • #R3-Konsortium
  • #RT1
  • #ReConf
  • #Request to Pay
  • #Robo Advisor
  • #Secure Login
  • #SustainableFinance
  • #T2S
  • #TARGET2
  • #TIPS
  • #Target2
  • #Technologie
  • #Tool
  • #Virtual Reality
  • #Virtuelle Währung
  • #XS2A
  • #Yubikey
  • #Zahlungsverkehr
  • #Zertifikate
  • #beehappy
  • #beesocial
  • #career
  • #clean architecture
  • #enterpriseintegration;
  • #hrReinMain
  • #security
  • #software architecture
  • #stipendium
  • #studenten
  • #syracom
  • #syracomfürkinder

Archiv:

2022

  • Dezember
  • November
  • Oktober
  • September
  • August
  • Juli
  • Juni
  • Mai
  • April
  • März
  • Januar

2021

  • Oktober
  • September
  • Juli
  • Mai
  • April

2020

  • Juli
  • Juni
  • April

2019

  • November
  • September
  • August
  • Juli
  • Mai
  • April
  • Februar

2018

  • Dezember
  • Oktober
  • September
  • Juni
  • März
  • Januar

2017

  • Juli
  • Juni
  • März
  • Februar

2016

  • Dezember
  • November
  • Oktober
  • Juni
  • Mai
  • April
  • März
  • Februar
  • Januar

beebusiness efficiency engineering

SitemapDatenschutzGender-HinweisImpressumCookie Einstellungen