Die Idee mit der Drohne war nicht zwingend nötig, macht aber trotzdem etwas her: Sirrend schwebt das unbemannte Fluggerät über ein geparktes Tesla Model X, verharrt dort, dann ist ein Piepen zu hören, die Blinker des Elektroautos leuchten kurz auf und nacheinander öffnen sich beide Flügeltüren. Diese Demonstration zeigten zwei deutsche Hacker bei einer virtuellen IT-Konferenz Ende April. Vorher erklärten sie, über welche Lücke sie in das Infotainment-System des Tesla eingedrungen sind – und dass wohl auch Fahrzeuge von vielen anderen Herstellern davon betroffen waren.
Tesla bezahlte Prämie für Funk-Lücke
Die beiden Deutschen beschäftigen sich professionell mit Auto-Sicherheit und haben zum Beispiel an dem Hacker-Wettbewerb Pwn2own 2019 teilgenommen, bei dem unter anderem Tesla-Systeme als Ziele vorgegeben wurden. Solche früheren Arbeiten lieferten auch die Grundlage für den neuen Angriff, genannt T-Bone. Wie bei ethisch agierenden Hackern üblich, haben die beiden vor der Veröffentlichung Tesla über die Lücke informiert, wofür sie im Rahmen eines Programms eine Prämie erhielten. Weil andere sich nicht zuständig fühlten, wiesen die IT-Sicherheitsexperten zudem den Rest der Branche auf das Problem hin.
Um die Kontrolle über geparkte Teslas zu übernehmen, nutzen sie zum einen den Umstand, dass die stets nach einem Wlan-Netz namens „Tesla Service“ Ausschau halten und sich dort mit fest gespeichertem Passwort anmelden, wenn sie fündig werden. Damit lässt sich schon einmal eine Verbindung zu ihnen herstellen – mit dem angeblichen Service-Wlan an Bord einer Drohne diskret aus der Luft, zum Beispiel an einem Supercharger. Anschließend nutzen die Hacker eine Lücke in einem von Tesla genutztem Open-Source-Modul namens Connman, um sich mit mehreren weiteren Tricks Zugriff auf den Infotainment-Computer zu verschaffen.
Bei Tesla bedeutet das, dass man Musik und Klimaanlage steuern, Fenster öffnen und das Fahrzeug entriegeln kann – aber nicht wegfahren. Nur beim Model X mit seinen Motor-Türen hinten und vorne lassen sich diese mittels Drohnen-Hack bewegen, bei den restlichen Modellen (beim Model 3 erst seit kurzem) dürfte auch die Heckklappe reagieren. Beziehungsweise reagiert haben: Tesla hat Connman nach Angaben in der Präsentation der Hacker inzwischen durch ein anderes Modul ersetzt. Mit ihrem Unternehmen Comsecuris hatten die Deutschen die Lücke im Oktober 2020 an das „Bug Bounty“-Programm gemeldet.
Connman-Software als Branchen-Standard?
Wie die IT-Experten erstaunt feststellten, dürfte Connman allerdings auch im Rest der Auto-Branche weit verbreitet sein. Denn Genivi, eine Allianz für Auto-Software aus Herstellern und Zulieferern, empfehle die Software im Rahmen einer Referenz-Plattform für Infotainment-Projekte – und auf die setze unter anderem Bosch als wichtiger Anbieter in diesem Bereich. Außerdem sei Connman Standard bei einer speziellen Linux-Version für Autos. Ab Ende Januar machte sich einer der beiden Tesla-Knacker deshalb unter anderem über Twitter an die Arbeit, andere Hersteller zu warnen.
Eigentlich wollte er das dem Sicherheitsteam von Intel überlassen, weil ein Mitarbeiter des Unternehmens der ursprüngliche Autor von Connman sei, wie es in der Präsentation heißt. Doch der Chip-Hersteller erklärte sich für nicht zuständig – nach drei Monaten. Nach der Einschaltung unter anderem des „deutschen CERT“ (damit dürfte das CERT-Bund gemeint sein, eine zentrale Stelle für Reaktionen auf IT-Notfälle) wurde im Februar eine neue Connman-Version ohne die Lücke veröffentlicht. Dennoch raten die Entdecker davon ab, diese Software-Hilfe überhaupt noch zu nutzen, denn das sei einfach „eine Einladung für Probleme“.
