Die Elektroautos von Tesla gelten auch als rollende Computer, und tatsächlich steckt in ihren Inneren wohl mehr und modernere Informationstechnologie als in jedem anderen Auto. Das bringt für Tesla die für die IT-Branche typischen Probleme etwa bei Updates mit sich – und wie sich jetzt sehr deutlich zeigt auch bekannte Sicherheitsrisiken in abgewandelter Form: Nach Recherchen des Hackers @green lässt Tesla ausgediente Medien-Computer aus seinen Elektroautos einfach wegwerfen, obwohl sie persönliche und sensible Daten enthalten können. Für die Alt-Geräte habe sich bereits ein lebhafter Markt entwickelt.
„Tesla gefährdet Adressen, Mail, WLAN“
„Schlechte Nachrichten am Sonntag“, schrieb @green jetzt auf Twitter. Der Sicherheitsexperte analysiert seit längerer Zeit Hardware und Software von Tesla und meldet immer wieder interessante Erkenntnisse. Die neueste aber dürfte für manche Tesla-Besitzer geradezu erschreckend sein: „Betrachten Sie alle Konten, bei denen Sie sich vom Autos aus angemeldet haben, als kompromittiert“, warnte der Hacker und nannte als Beispiele Google Mail und Netflix. Bei Spotify – was aber weniger heikel sein dürfte als Mail-Dienste – sei das Passwort sogar als Klartext gespeichert. Das Tesla-Konto sei nicht darunter, aber Heim- und Büro-Adressen, alle gespeicherten WLAN-Passwörter sowie Kalender-Einträge, Anruf-Listen und Adressbücher von früher gekoppelten Smartphones.
Das Problem betreffe alle Teslas, bei denen der Medien-Computer getauscht wurde, erklärte @green weiter. Weil diese Media Control Unit (MCU) beim Model 3 mit der Autopilot-Hardware verbunden ist, ist es auch relevant für alle Exemplare dieses Tesla-Modells, die mit der früheren Hardware-Version AP 2.5 ausgeliefert wurden und für autonomes Fahren kostenlos einen Austausch bekommen. Außerdem bietet Tesla seit kurzem für Model S und Model X einen kostenpflichtigen Wechsel von MCU1 auf MCU2 an, und auch bei neueren MCUs kann ein Speicher-Chip versagen. In all diesen Fällen können laut @green Daten im Tesla-Müll landen.
Bad news Sunday. If you had infotainment computer in your Tesla replaced (model3 FSD upgrade, mcu2 retrofit, mcu1 emmc fix or any other fixe requiring computer swap) – consider all accounts you logged into from the car compromised and change pwds.https://t.co/sCs7elRoyk
— green (@greentheonly) May 3, 2020
Unter anderem weil das Angebot zum Tausch in den USA offenbar gut ankommt, ist schon ein wachsender Markt für gebrauchte MCUs entstanden. Laut @green ist es feste Politik bei Tesla, alte Einheiten einfach wegzuwerfen. Das Unternehmen selbst gebe an, später zum Kauf angebotene MCUs seien „gestohlen“ worden und Daten darauf würden ohnehin vorher gelöscht. Der Hacker bezweifelt die Vorsichtsmaßnahme. Zudem sei ihm zugetragen worden, dass manchmal Tesla-Mitarbeiter selbst freien Werkstätten alte MCUs anbieten würden. Er persönlich habe vier Stück davon auf eBay gekauft und noch Daten darauf gefunden, sagte @green dem Blog InsideEVs.
Tesla informierte Kunden nicht
Wie es sich für einen ethischen Hacker gehört, informierte @green zudem Tesla, bevor er mit seinen Entdeckungen an die Öffentlichkeit ging. Das Unternehmen habe sich aber geweigert, zeitnah alle potenziell betroffenen Austausch-Kunden zu informieren, berichtet er. Auch ein Hinweis an einen konkret genannten Tesla-Fahrer, dessen MCU @green gekauft hatte, blieb laut InsideEVs bislang aus.
Das Problem mit nicht gelöschten Daten auf alten Computern und Speichermedien allgemein ist seit langem bekannt. Darunter können Privatleute leiden, die unbedacht ihre Gebrauchtgeräte mit sensiblen Informationen verkaufen, aber auch Unternehmen, die das im großen Stil tun. Die Nutzer selbst können sich schützen, indem sie zum Verkauf anstehende Medien sicher löschen – beim Verkauf eines Tesla etwa lässt er sich auf die Werkseinstellungen zurücksetzen.
Im Tesla gepeicherte Passwörter ändern
Im aktuellen Fall aber sind Besitzer auf die Mithilfe von Tesla angewiesen. Denn wie @green erklärt, geben sie ihr Elektroauto zum MCU-Tausch meist mit Daten ab, weil diese auf die neue Einheit übertragen werden sollen – aber sie bekommen die alte anschließend nicht ausgehändigt. Als Nothilfe bleibt ihnen vorerst, jetzt alle Passwörter zu ändern, die vor dem Tausch im eigenen Tesla gespeichert waren.
