Autos sind so smart wie noch nie: Wer etwa einen Tesla fährt, der kann sein Fahrzeug bequem mittels App vorheizen lassen, auch den Schlüssel können Smartphones immer öfter ersetzen. Das ist nützlich, birgt aber auch so seine Gefahren. Diesen Umstand ruft ein neuer Bericht in Erinnerung.

Angriff

Dem 19-jährigen Sicherheitsforscher David Colombo ist es gelungen, weltweit 25 Tesla-Fahrzeuge unter seine Kontrolle zu bringen. Anschließend konnte er bei den betroffenen Gefährten unter anderem das Sicherheitssystem (den Sentry Mode) deaktivieren oder auch Türen und Fenster entriegeln. Selbst das Starten des Fahrzeugs sei ihm auf diesem Weg möglich gewesen, betont der Hacker auf Twitter.

Was den Angriff besonders unerfreulich macht: Eine physische Nähe ist dafür nicht notwendig. Genau genommen sind die Betroffenen über 13 Länder verstreut. Allerdings gibt es auch eine gute Nachricht: Der dafür verantwortliche Fehler ist zumindest nicht direkt in der Tesla-Software zu finden. Und doch zeigt sich eine in der Praxis nicht zu unterschätzende Gefahrenquelle.

Token

Gegenüber Bloomberg betont der in Bayern lebende Sicherheitsexperte nämlich, dass der Fehler an einer Drittsoftware liege, die Zugangsinformationen zum Tesla-Konto auf unsichere Weise abspeichern würde. Das heißt, er ist wohl über ein bei einer anderen App gespeichertes Zugriffs-Token in den Account der betroffenen Nutzer gekommen, womit er dann in Folge die Kontrolle über deren Fahrzeuge übernehmen konnte.

Dazu passt auch, dass Tesla nach einer Meldung von Colombo an das Sicherheitsteam des Fahrzeugherstellers mittlerweile reagiert hat. So wurden am Mittwoch tausende solcher Authentifizierungs-Tokens ungültig gemacht. Infolge mussten sich viele Tesla-Besitzer neu einloggen. Im Netz kursieren zwar Gerüchte, dass die App Teslamate der Verursacher gewesen sein soll, Colombo wollte das aber ebenso wenig bestätigen wie den Umstand, dass der Fehler dort bereits behoben wurde. Weitere technische Details will er erst später in einem ausführlichen Artikel liefern.

Auch ohne Zugriff auf die Steuerung gefährlich

Unabhängig von der Schuldfrage zeigt der Vorfall, wie wichtig der Fokus auf Sicherheit gerade bei solch kritischen Systemen ist. Immerhin hat Colombo recht, dass es äußerst problematisch wäre, wenn jemand von außen mitten in der Fahrt das Licht wild blinken lasse oder auch Musik auf voller Lautstärke spielt – beides Dinge, die laut dem Hacker problemlos möglich gewesen wären. Solch ein Angriff braucht also gar nicht die Steuerung selbst unter Kontrolle zu bringen, um potenziell lebensgefährlich zu sein. (apo, 13.1.2022)