Die Schlüssel-Lösungen für Tesla Model 3 und Model Y sind vielfältig und bequem – aber wie so häufig scheint auch hier Komfort auf Kosten der Sicherheit zu gehen. So hat nicht nur Tesla sich angewöhnt, das dafür eigentlich nicht vorgesehene Protokoll Bluetooth Low Energy für das Aufschließen seiner Fahrzeuge zu nutzen. Dadurch kann man die Elektroautos mit dem Smartphone in der Tasche öffnen und losfahren – aber schon mehrmals mussten BLE-Lücken per Software-Update geschlossen werden. Vor kurzem zeigten Sicherheitsforscher eine neue, die bisherige Abwehr-Maßnahmen bei Tesla- und anderen Schlössern aushebelt. Und ein österreichischer Hacker hat jetzt auch in die Schlüssel-Karte für Model 3 und Model Y als angreifbar identifiziert.
Neuer Schlüssel für Model 3 registriert
Das kann man einer langen Präsentation entnehmen, die Martin Herfurt laut der Website seines Project Tempa vergangene Woche bei der Konferenz Recon22 gab. Unter dem Titel „Demystifying Tesla’s Bluetooth Passive Entry System“ enthält sie eine Zusammenfassung seiner Beschäftigung damit seit dem Kauf eines Model 3 im Jahr 2019 und eine technische Beschreibung der neuesten Lücke. Manche Tesla-Fahrer kennen Herfurt außerdem als Autor der Android-App Tesla Radar, die spielerisch Bewusstsein dafür schaffen soll, dass Model 3 und Model Y ständig identifizierbare Bluetooth-Signale aussenden, die jeder empfangen kann.
Alternativ lässt sich Herfurts neueste selbst geschaffene Möglichkeit für einen Tesla-Zugang in einem Video ansehen, das er unter dem Titel „Gone in under 130 Seconds“ bei YouTube einstellte. 130 Sekunden nämlich hat man nach dem kontaktlosen Öffnen eines Model 3 oder Model Y mit der mitgelieferten Schlüssel-Karte Zeit, um ohne weitere Eingabe loszufahren – oder auch um eine neue Karte für das zukünftige Entsperren des jeweiligen Tesla zu autorisieren. Doch dieser Zeitraum lässt sich in Bluetooth-Entfernung auch von außen nutzen, um mit Tricks ein fremdes Smartphone zum Tesla-Schlüssel zu machen.
In dem gestellten Video dürfte Herfurts eigenes Model 3 zu sehen sein, doch als Besitzerin mit Schlüssel-Karte tritt eine Frau auf. Nachdem sie die Karte kurz vor die B-Säule des geparkten Elektroautos gehalten hat, beginnt ein eingeblendeter Countdown ab 130 Sekunden zu laufen. Die Frau steigt ein, und in Sichtweite einige Meter entfernt hockt der mit Kapuzenpulli und Sonnenbrille deutlich als solcher kenntlich gemachte Hacker. Er tippt auf einem Smartphone herum, auf dessen Bildschirm bald darauf „Action Successful“ mit einem großen grünen Haken erscheint. Der Timer steht zu diesem Zeitpunkt noch bei knapp über 110 Sekunden.
Das Fenster für den Angriff reichte also mehr als aus, und die Frau am Tesla-Steuer hat von all dem nichts mitbekommen, wie das Video erwähnt: Einblendungen über die Aktivierung eines neuen virtuellen Schlüssels auf dem Bildschirm des Model 3 gibt es nicht. Sie fährt weg und kommt später wieder zurück – und noch etwas später auch der Hacker mit gezücktem Smartphone. Darauf läuft eine App namens TeslaKee, die kurz darauf ähnlich wie die originale anzeigt, dass alle Türen entsperrt sind. Der Mann mit dem Telefon steigt ein und fährt wie vorher die Frau mit der echten Schlüssel-Karte weg.
Tesla-Funktion Pin2Drive verhindert Wegfahren
Das also kann einem passieren, wenn man nicht einmal die schon als angreifbar bekannte Passive-Entry-Funktion mit Smartphone für Model 3 und Model Y nutzt, sondern die etwas umständlichere Schlüssel-Karte. Herfurt rät deshalb dazu, vorsichtig mit ihr umzugehen und sich darüber im Klaren zu sein, dass sein Trick auch nach dem Verschließen mittels der Karte 130 Sekunden lang funktioniert. Als Gegenmaßnahme kommt wie bei den anderen Bluetooth-Angriffen die Aktivierung der Zusatz-Sicherung Pin2Drive in Frage, dank der eine fremde Person zumindest nicht wegfahren kann, wenn sie den vierstelligen Code nicht kennt. Außerdem bietet Herfurt eine ungefährliche Version seiner Kee-App an, die nach seinen Angaben den Missbrauch der Bluetooth-Fähigkeiten erschwert. Um dort die eigenen Zugangsdaten einzugeben, muss man ihm allerdings wahrscheinlich mehr vertrauen als Tesla.
