Salzburger zeigt mit seinen Hacks, wie sich Teslas stehlen lassen
Der Salzburger IT-Sicherheitsforscher Martin Herfurt war ursprünglich ein großer Tesla-Fan. Er hat sich für sein eigenes Unternehmen IT-Wachdienst.com, über das er IT-Sicherheitsdienstleistungen anbietet, ein Tesla Model 3 als Firmenfahrzeug gekauft. Damals wusste er noch nicht, dass er das Tesla-Fahrzeug eines Tages für YouTube-Videos verwenden würde, in denen er demonstriert, wie sich das Auto ohne großen Aufwand aufsperren und stehlen lässt.
„Als Erstes ist mir beim Tesla aufgefallen, dass jedes Fahrzeug mit einer permanenten ID ausgestattet ist. Damit lassen sich die Autos genau verfolgen, außerdem lässt die ID Rückschlüsse auf die Fahrgestellnummer zu“, erzählt Herfurt im Gespräch mit der futurezone. Er habe dies an Tesla gemeldet und als Rückmeldung erhalten, dass es in den USA ohnehin überall Kameras gebe, die Kennzeichen erfassen würden und man deshalb nichts an dieser Praxis ändern werde, so der Forscher.
Herfurt nahm sein Model 3 danach genauer unter die Lupe. 2022 hat der Sicherheitsforscher das Projekt "Tempa" gestartet und das Aufsperren des Teslas per Bluetooth am Smartphone sowie per NFC-Karte geknackt. Er hat dazu eine Serie von YouTube-Videos veröffentlicht, die zeigen, wie einfach man Teslas stehlen kann, wenn man „halbwegs“ in der Nähe des Fahrzeugs ist und die richtigen Tools dabei hat. Im Video „The Tesla Parking Lot Job“ ist etwa zu sehen, wie Herfurt über 2 Raspberry Pis eine sogenannte „Man in the Middle“-Attacke durchführt: Ein Raspberry Pi kommuniziert mit dem Smartphone des Besitzers, der andere mit dem Auto. „Es war sehr einfach, einen Angriff durchzuführen“, so Herfurt zur futurezone.
3 Arten, um seinen Tesla aufzusperren
Es gibt 3 Arten, um Tesla-Elektroautos zu entsperren. Die erste Art, auf die Tesla besonders stolz ist, ist das Aufsperren und Wegfahren per Smartphone. Das Auto erkennt per Bluetooth das Smartphone in der Nähe und sperrt das Auto auf.
Tesla verkauft zudem einen optionalen FOB, der wie ein Funkschlüssel verwendet wird. Diesen hat Herfurt noch nicht gehackt - weil der Funkschlüssel bei ihm nicht funktioniert.
Methode Nummer 3 ist eine NFC-Karte. Kauft man einen Tesla, bekommt man 2 Stück davon. Diese benötigt man auch, um per Tesla-App das Smartphone erstmals als Schlüssel zu aktivieren. Auch das Aufsperren per NFC-Karte lässt sich hacken, wie im YouTube-Video „Gone in 130 Seconds“ zu sehen ist.
So funktioniert der Hack
Der Hack funktioniert Folgendermaßen: Nachdem die Besitzer*in zum Aufsperren die NFC-Karte genutzt hat, akzeptiert das Fahrzeug für 130 Sekunden Bluetooth-LE-Verbindungen. In dieser Zeit kann die offizielle Tesla-App mit dem Fahrzeug kommunizieren, um das Smartphone zum Autoschlüssel zu machen - falls etwa der Besitzer Handy gewechselt hat.
Laut Herfurt lässt sich dem Tesla innerhalb dieses Zeitfensters ein beliebiger Schlüssel schicken. Dazu muss das fremde Smartphone lediglich in Reichweite des Elektroautos sein. Doch wie weit kann man da wirklich weg sein? „Mehrere 100 Meter sind gar kein Problem. Man braucht nur eine Richtantenne. Die Besitzer*in sieht dann gar nicht, dass da jemand lauert“, sagt Herfurt.
Um den Smartphone-Autoschlüssel zu schützen, hat Tesla die Funktion PIN2Drive hinzugefügt. „Aber man kann noch immer provozieren, dass Besitzer*innen das Auto mit der NFC-Karte aufsperren müssen, etwa mit einem Bluetooth-Jammer, und diese Methode ist nach wie vor anfällig für Hacks“, wie Herfurt erklärt. Aber auch den PIN2Drive-Code kann man austricksen, den Tesla empfiehlt, um Besitzer*innen vor Angriffen zu schützen. Das ist auch im Video "NOT a Numbers Game - Bypass2Drive" zu sehen.
Neues Angriffsszenario
Auf der niederländischen Konferenz „May Contain Hackers“ (#MCH2022) in Zeewolde präsentierte der Sicherheitsspezialist, wie sich der Tesla Model 3 noch hacken lässt (PDF der Slides). Er zeigte dort einen Angriff, den er „Tesla Authorization Extraction/Replay Attack“ nennt. Dabei beschafft sich eine potentielle Angreifer*in Sperrcodes beim Besitzer*innen-Handy, um diese später im Fahrzeug zu verwenden und damit wegzufahren.
„Das Problem hier ist, dass Teslas Smartphone-Anwendung einfach mit allem spricht, dass auf Bluetooth-Ebene so aussieht wie das echte Fahrzeug. Die Smartphone-App muss bei jeder sicheren Interaktion mit dem Fahrzeug kryptographisch beweisen, dass es legitimiert ist. Das Fahrzeug hingegen kann sagen, was es möchte und muss dabei keinen Authentizitätsbeweis liefern“, so der Forscher im Gespräch mit der futurezone. Er hat auf Github ein Tool namens „temparary“ veröffentlicht, bei dem dieses Problem ausgenutzt wird. Damit schafft man es, sich als valides Tesla-Fahrzeug auszugeben, um die Smartphone-App auszutricksen und das Auto aufzusperren.
Die Hacks, die der Salzburger zeigt, funktionieren nicht nur beim Model 3, sondern auch bei allen Tesla-Model S und X ab dem Jahr 2021.
Keine Meldungen mehr an Tesla
Herfurt will nicht nur Tesla-Sicherheitslücken aufzeigen, sondern hat auch eine Lösung: Er entwickelt mit TeslaKee eine eigene App, über die eine sichere Kommunikation zwischen Fahrzeug und Smartphone möglich werden soll. Er möchte sie im Herbst 2022 veröffentlichen. An Tesla selbst meldet der Forscher schon länger keine der Schwachstellen mehr, die er findet, obwohl Tesla ein eigenes „Bug Bounty Programm“ hat. Dabei sollen Sicherheits-Schwachstellen, die an das Unternehmen gemeldet werden, mit Preisgeldern von bis zu 10.000 Euro belohnt werden - wenn sie zusichern, über die Sicherheitslücken zu schweigen.
Unternehmen machen das in der Regel, um zu zeigen, dass Ihnen IT-Sicherheit wichtig ist. „Meiner Meinung nach nutzt Tesla diese Sache für sich aus. Ich kenne niemanden, der im Rahmen des Programms Geld erhalten hat. Alleine die viele Zeit, die ich aus Spaß an der Sache verbracht habe, ist ein Vielfaches der Höchstsumme wert“, so der Forscher. Auch andere Forscher*innen hätten Herfurt mitgeteilt, dass ihre gemeldeten Schwachstellen weder behoben, noch belohnt worden seien. „Unter dem Strich kann man sagen, dass sich Tesla beim Umgang mit Sicherheits-Schwachstellen nicht gerade mit Ruhm bekleckert.“
"Alles, was smart ist, ist angreifbar"
Doch sind Tesla-Fahrzeuge jetzt unsicherer als andere Autos? „Tesla hat sich meiner Meinung nach bei der Konzeption der Security große Mühe gegeben. Es sieht aber fast so aus, dass nicht zuletzt die hohe Personalfluktuation im Unternehmen auch dazu führt, dass sich unnötige Fehler einschleichen, die die Security des Produkts negativ beeinflussen. Auch andere Autohersteller haben Sicherheitsprobleme. Und generell gilt: Alles, was smart ist, ist angreifbar“, sagt Herfurt, der seine Tesla-Hacks fortsetzen wird.