Wer die Zentralverrieglung seines Tesla Model S bisher mittels iOS-App geöffnet hat, der musste lediglich ein Passwort mit sechs Zeichen eingeben, welches mindestens einen Buchstaben und eine Zahl enthalten musste. Sollte die Eingabe fehlerhaft gewesen sein, so bestand bisher die Möglichkeit, diese beliebig oft zu wiederholen.
Nun wurde eben diese Sicherheitsmaßnahme kürzlich kritisiert, da dieses Anmeldepasswort auf vielfältige Art und Weise erbeutet werden kann. Nicht nur kann das Fahrzeug auf- und abgeschlossen werden, auch die Ortung des Fahrzeugs wird dadurch ermöglicht. Der Sicherheitsforscher Nitesh Dhanjani warnte vor diesen Lücken und forderte Tesla auf, eine bessere Absicherung zu gewährleisten.
Da die Eingabe ohne Einschränkungen wiederholt werden kann, ist dies ein möglicher Angriffspunkt für Brute-Force-Angriffe. Weiterhin kann das Passwort mittels Phishing oder Malware erbeutet werden und da kein anderer Schutzmechanismus besteht, ist somit der Zugang zum Fahrzeug direkt gegeben.
Tesla Motors hat vier Tage nach Veröffentlichung der Beurteilung seinen Passwortschutz erweitert: So muss man aktuell acht Zeichen wählen, wobei auch hier mindestens ein Buchstabe und eine Zahl verwendet werden muss. Nach fünf erfolglosen Versuchen ist man nun gezwungen das Passwort zurückzusetzen.
