Schon mehrere Male wurden Bluetooth-Sicherheitslücken in den Schlüssel-Fobs für Model S und Model X gemeldet, die Tesla dann jeweils mit einem Software-Update schnell wieder schloss. Jetzt aber hat eine IT-Sicherheitsfirma eine neue Lücke in dem Protokoll Bluetooth Low Energy (BLE) entdeckt, mit dessen Hilfe Tesla und viele andere Unternehmen nicht nur in der Auto-Branche aus Smartphones passive Funk-Schlüssel machen. Stellvertretend an einem Model 3 zeigten die Experten, dass es sich mit relativ wenig technischem Aufwand knacken lässt – und die dabei genutzte Schwäche soll sich bei allen betroffenen Produkten nur mit Hardware-Veränderungen wirklich beheben lassen.
Tesla-Hacker einen Schritt weiter
Von ihrer Entdeckung berichtete die NCC Group am Wochenende in einem Technical Advisory. Die Beschreibung darin liest sich ähnlich wie bei früheren Bluetooth-Attacken: Das an sich lokale BLE-Signal wird aufgenommen und verstärkt, um damit zum Beispiel ein in größerer Entfernung geparktes Elektroauto aufzuschließen. Neu an der Vorgehensweise aber ist, dass NCC beim Tesla-Knacken Sicherheitsmaßnahmen überwand, die eigens zum Verhindern solcher Relay-Angriffe eingeführt wurden.
Man habe eine neue Art von Relay-Attacke entwickelt, die an der Verbindungsschicht ansetze, erklären die Forscher in ihrem Advisory. Dadurch führe sie so wenig zusätzliche Verzögerung in die Kommunikation zwischen Smartphone-Schlüssel und Funk-Schloss ein, dass sie von der Latenz-Messung zur Abwehr nicht erkannt werde. Ebenso funktioniere Verschlüsselung auf der Verbindungsschicht als Abwehrmaßnahme nicht mehr.
Im ewigen Katz-und-Maus-Spiel zwischen Herstellern und (in diesem Fall professionellen und ethischen) Hackern haben die Angreifer jetzt also erneut die Nase vorn. Dabei könnte es allerdings länger bleiben, denn laut NCC lässt sich die neue Bluetooth-Lücke nur mit Hardware-Ergänzungen richtig schließen. Was beim Model 3 gelungen sei, werde wahrscheinlich auch beim Model Y mit der gleichen Schlüssel-Technik funktionieren. Das Gleiche dürfte für alle anderen elektrischen oder nicht elektrischen Autos sowie sonstigen Produkte mit BLE-Schlüssel gelten. Der Agentur Bloomberg nannte einer der NCC-Forscher konkret die Haus-Schlösser von Kwikset, die sich mittels Apple- oder Android-Smartphone passiv öffnen lassen.
Pin to Drive nutzen oder kein Passive Entry
Speziell wegen des geknackten Model 3 kontaktierte NCC nach eigenen Angaben Tesla. Eine Woche später habe das Sicherheitsteam dort geantwortet, Relay-Angriffe seien eine bekannte Schwäche von Passive Entry mittels BLE. Wegen der Breite der Lücke wurde außerdem das Gremium Bluetooth SIG kontaktiert. Laut NCC teilte es mit, bessere Mechanismen zur Absicherung gegen Relay-Attacken seien in Arbeit. In der Zwischenzeit raten die Forscher Tesla-Besitzern, die Funktion „Pin to Drive“ zu nutzen oder die Öffnung mittels passivem Bluetooth-Funk abzuschalten. Wie so häufig geht Sicherheit also einstweilen auch hier auf Kosten des Komforts.
