Promon, ein norwegisches Unternehmen für Anwendungssicherheit, zeigt in einer Studie, dass Cyberkriminelle durch Ausnutzen fehlender Sicherheit in Teslas Smartphone App die Kontrolle über die Fahrzeuge des Unternehmes erlangen können. Damit sind sie in der Lage, das Auto ausfindig zu machen, aufzuschließen und ungehindert wegzufahren.
Promon zeigt in einem Video, dass Experten des Unternehmens in der Lage waren, die vollständige Kontrolle über das Tesla-Auto zu erlangen. Sie konnten ausfindig machen, wo das Auto geparkt war, konnten die Tür öffnen und die Keyless-Drive-Funktion aktivieren.
Der entscheidende Punkt dabei ist, dass all dies durch den Angriff und die Übernahme der Kontrolle der Tesla-App möglich war. Das macht deutlich, wie wichtig hieb- und stichfeste App-Sicherheit ist und wie weitreichend die Folgen für IoT-verbundene Geräte im Allgemeinen sein können.
Tom Lysemose Hansen, Gründer und CTO von Promon, kommentiert: „Im Rahmen der jüngsten Studie nutzte ‘Keen Security Labs’ Fehler im CAN-Bussystem der Tesla-Autos aus und übernahmen die Kontrolle über eine begrenzte Anzahl an Funktionen. Unser Test ist der erste, bei dem die Tesla-App als Einstiegspunkt verwendet wird. Und er geht einen Schritt weiter, denn er zeigt, dass eine kompromittierte App direkt zum Diebstahl eines Autos führen kann.“
Eine Methode, mit der Cyberkriminelle dafür sorgen können, dass der Hack funktioniert, ist die Einrichtung eines Wi-Fi-Hotspots, am besten in der Nähe einer öffentlichen Tesla-Ladestation. Wenn Tesla-Nutzer sich einloggen und eine Seite besuchen, erscheint eine an die Fahrzeugbesitzer gerichtete Werbeanzeige, die ein Incentive, wie ein kostenloses Essen, anbietet. Klickt man diesen Link an und lädt die dazugehörige App herunter, können Hacker Root-Zugriff auf das Mobilgerät des Nutzers erlangen, was ihnen dann möglich macht, die Tesla App zu übernehmen.
Laut Hansen ist die Leichtigkeit, mit der technisch versierte Kriminelle auf diese Weise ein Tesla-Auto stehlen können, bezeichnend für die Notwendigkeit, bei allen IoT-verbundenen Geräten und Anwendungen den Fokus stärker auf App-interne Sicherheit zu richten.
Und er ergänzt: „Auf Mobilgeräte ausgerichtete Kriminelle sind qualifizierter denn je und nutzen die fehlende Sicherheit in mobilen Apps als zunehmend lukrative Einkommensquelle. Die aus der Ferne kontrollierten und gestohlenen Tesla-Autos sind ein besonders gefährliches Beispiel dafür, was möglich ist. Theoretisch könnte aber jede App, die nicht über die erforderlichen Sicherheitsvorkehrungen verfügt, betroffen sein.“
„Die Umsetzung dieser App-Sicherheit sollte für jedes Unternehmen mit einer App eine Priorität darstellen, die sensible Nutzerdaten enthält. Ein Weg dorthin ist die Einführung sich selbst verteidigender App-Software, welche die App von innen nach außen schützt und die Wahrscheinlichkeit eines Cyberangriffs erheblich verringert.“
„Tesla hat sich von den physischen Geräten (von einem ‚physikalischen‘ Schlüssel zu einem ‚mobilen Schlüssel‘) zur Türöffnung verabschiedet und geht damit im Wesentlichen den gleichen Weg wie Banken und die Finanzbranche, in der physische Tokens durch ‚mobile Tokens‘ ersetzt wurden. Deshalb sind wir überzeugt, dass Tesla und die Automobil-Industrie auch ein vergleichbares Sicherheitsniveau bieten müssen (wie bei den für die Authentifizierung verwendeten ‘mobilen Tokens’), was heute sicherlich noch nicht der Fall ist.“
Abschließend fügt Hansen an: „Tesla ist ein leuchtendes Beispiel dafür, wie technologische Fortschritte ein beispielloses Niveau an Innovation und Nutzerfreundlichkeit liefern können. Die zunehmend App-orientierte Welt muss jedoch dringend gesichert werden, um zu verhindern, dass Kriminelle ihre Möglichkeiten in großem Maßstab nutzen können.“
Promon arbeitet bei der Bewältigung dieser Sicherheitsprobleme mit den Apps eng mit Tesla zusammen, um sie zu beheben.