Bild: Tesla
Rund 130 Sekunden haben Unbefugte Zeit, um nach dem Entriegeln eines Model 3 oder Model Y durch den Besitzer mit der Schlüssel-Karte ihr eigenes Smartphone aus einigen Metern Entfernung zum Nachschlüssel zu machen, demonstrierte ein Tesla-Hacker aus Österreich in diesem Juni. Tatsächlich reichten ihm dafür 110 Sekunden. Ein anderer IT-Sicherheitsforscher hat jetzt einen weiteren Tesla-Angriff über die Karte veröffentlicht. Dazu muss man zu zweit sein, aber die neue Attacke soll auch über größere Entfernungen funktionieren.
Video zeigt neuen Tesla-Angriff
Nicht nur bei Tesla wird für den Zugang zu Fahrzeugen das Protokoll Bluetooth Low Energy (BLE) verwendet, das nicht für diesen Zweck vorgesehen war. Die Folge ist, dass immer wieder Lücken entdeckt und teils auch geschlossen werden, aber in diesem Katz-und-Maus-Spiel scheinen die Hacker die besseren Karten zu haben. So meldete die Gruppe NCC in diesem Mai, eine nach ersten Angriffen eingeführte BLE-Absicherung bei Tesla ausgehebelt zu haben.
Die Lücke dafür fand sich in der Funktion Passive Entry für Model 3 und Model Y, mit deren Hilfe das Smartphone zum Tesla-Öffnen in der Tasche bleiben kann. Doch auch die Schlüssel-Karte bleibt ein potenzielles Einfallstor, geht aus einem neuen Whitepaper von Josep Pi Rodriguez bei IOActive hervor. Man muss dafür sehr nah an diese Karte herankommen, aber nur für Sekunden. Eine zweite Person kann dann den jeweiligen Tesla öffnen und ungehindert damit wegfahren.
In einem YouTube-Video zeigt IOActive die übersichtlichste Form dieser neuen Attacke. Ein Mann steigt aus einem roten Model Y aus und verriegelt es, indem er wie in dem Tesla-Foto ganz oben die Schlüssel-Karte an die B-Säule hält. Ein anderer Mann hält anschließend ein kleines Gerät an dieselbe Stelle, sein Komplize drängelt sich an dem weggehenden Tesla-Besitzer vorbei und hält dabei kurz sein Smartphone hinter die Hosentasche, in der sich die Karte befindet. Im selben Moment kann der andere Mann die Tür des Model Y öffnen und damit wegfahren.
Bei dem Gerät handelt es sich um einen Proxmark RDV4.0, ein Werkzeug für Bluetooth- und RFID-Tests, das sich umprogrammieren lässt. Genau das hat Rodriguez getan: Er leitet darüber die Kommunikation des Tesla mit der vermeintlichen Schlüssel-Karte an das Smartphone des Komplizen weiter, auf dem ebenfalls spezielle Software läuft. Von dem Funk-Schlüssel in der Tasche des rechtmäßigen Besitzers holt er sich damit die korrekte Antwort auf eine Kryptografie-Aufgabe, die das wartende Elektroauto ausgibt, und schon ist es geöffnet.
Sichere Lösung bräuchte neue Hardware
Mit einem Smartphone muss man für diesen Angriff bis auf maximal 4 Zentimeter Abstand an die Tesla-Karte herankommen, mit mehr technischem Aufwand sollen bis zu 60 Zentimeter möglich sein. Als Kontakt-Zeit sollen 1-2 Sekunden ausreichen. Außer aus unmittelbarer Nähe zum Helfer über Bluetooth oder Wlan könnte die Weiterleitung auch über das Internet funktionieren, was der IT-Forscher laut seinem Whitepaper aber noch nicht ausprobiert hat.
Weiter schreibt Rodriguez darin, eine wirklich sichere Lösung würde wohl neue Hardware erfordern, aber mit mehr Restriktionen im BLE-Einsatz lasse sich die Lücke verkleinern. Tesla habe auf seine Hinweise dazu vor der Veröffentlichung geantwortet, die Funktion „Pin2Drive“ würde dieses Problem entschärfen. Sie führt dazu, dass man mit einem entriegelten Tesla erst nach Eingabe eines vierstelligen Codes auf dem Bildschirm fahren kann. Öffnen und ausräumen ließe er sich dann aber immer noch – und wie immer bei Sicherheit steht diese Lösung in Konflikt mit dem Nutzer-Wunsch, es möglichst einfach zu haben.
