Categories: Sicherheit

Tesla lässt Experten Tesla Model S hacken

Tesla hat Kevin Mahaffey von Lookout und Marc Rogers von Cloudflare ein Model S aus seiner Produktion zur Verfügung gestellt, um sich darüber klar zu werden, inwieweit die für vernetzte Automobile erforderlichen Sicherheitsmaßnahmen umgesetzt sind. Die beiden Sicherheitsexperten sollten ausdrücklich so gegen die Systeme des Fahrzeugs vorgehen, wie dies Kriminelle tun würden. Und obwohl sie dem Tesla Model S ein insgesamt gutes Sicherheitskonzept bescheinigen, fanden sie einige Ansatzpunkte, um in die Systeme einzudringen.

„Wir identifizierten sechs Schwachstellen im Model S, die es uns letztendlich – bei einmaligen physischen Zugriff auf das Fahrzeug – erlaubten, die volle Kontrolle über das Infotainment-System des Fahrzeugs zu übernehmen und jede Aktion auszuführen, die sich auch mit dem zentralen Touchscreen oder über Teslas Smartphone App ausführen lässt“, schreibt Mahaffey.

Das tabletartige Infotainmentsystem im Tesla Model S ist ganz klar noch eine Schwachstelle des Fahrzeugs (Bild: Tesla)

„In einem Fall konnten wir das Auto während der Fahrt abschalten. Bei niedriger Geschwindigkeit zieht das Auto die Parkbremse an und stoppt unmittelbar. Ab etwa 5 Meilen pro Stunde stellt das Model S seinen Motor elegant ab – so als ob man bei einem Benzinfahrzeug in den Leerlauf schalten würde – wobei aber der Fahrer die volle Kontrolle über Lenkung und Bremsen behält und so das Fahrzeug sicher zum Halt bringen kann.“

Details stellen die beiden Sicherheitsexperten auf der dieser Tage in Las Vegas stattfindenden DefCON 23 vor. Vorab geben sie Automobilherstellern aber drei Ratschläge, wie diese dafür sorgen können, dass ihre kommenden, vernetzten Fahrzeuge so sicher wie möglich sind.

Voraussetzung für die Ausnutzung der vorhandenen Sicherheitslücken war der physische Zugriff auf das Fahrzeug – womit die schlimmsten Horrorszenarien schon einmal ausgeschlossen werden können (Bild: Lookout).

Erstens empfehlen sie eine Möglichkeit, Fahrzeug-Software per Funk zu aktualisieren. Die jetzt von Fiat Chrysler aufgrund eines spektakulären Hack bei einem Jeep gewählte Möglichkeit, hat 1,4 Millionen internetfähige Fahrzeuge zurückzurufen, basiert auf alten Geschäftsmodellen der Automobilbranche, wo fehlerhafte Teile tatsächlich physisch Teile ausgetauscht werden mussten. In der Software-Welt, in der Fehler quasi zwangsläufig auftreten, sei das überholt: „Vernetzte Fahrzeuge sind eigentlich nichts anderes als Compute auf Rädern. PCs werden aber natürlich nicht bei jeder Schwachstelle, die in ihrer Software gefunden werden, in die Werkstatt beordert“, so Mahaffey.

Die zweite Empfehlung ist noch offensichtlicher und wird nicht das erste Mal gegeben: Die Infotainmentsysteme sind streng von den Systemen für die Fahrzeugsteuerung zu trennen. Dritten sei eine enge Zusammenarbeit zwischen Automobilherstellern und Sicherheitsexperten erforderlich. Cybersecurity müsse von Anfang an eingebaut, nicht erst nachträglich angetackert werden. Aber auch hier sind die meisten Hersteller auf einem guten Weg. BMW und Jeep hatten schon ihre ersten Nackenschläge und werden alles tun, um weitere zu vermeiden. Tesla ist die Sache jetzt mit Lookout und Cloudflare offensiv angegangen. Andere Hersteller führen ebenfalls Gespräche – sind aber zurückhaltender.

Ein großer Vorteil der Branche ist es, dass man vielfach schon gewohnt ist, Standards zu akzeptieren und sich auf andere Weise zu differenzieren. Viele Zulieferer in dem Bereich bedienen schließlich mehrere Marken. Und obwohl dieselbe Lenkung, dieselbe Lichtmaschine oder derselbe Luftmassenmesser unter der Motorhaube steckt, haben jedes Fahrzeug und jede Marke ihr eigenes Gesicht. Da dürfte es bei den für die Käufer letztendlich ja in der Regel nicht einmal sichtbaren Sicherheitsvorkehrungen ein Leichtes sein, sich zu verständigen.

HIGHLIGHT

Wie Samsung Knox das S6 und S6 Edge mit My Knox sicherer macht

Android-Smartphones werden immer häufiger auch in Unternehmen genutzt. Das ist auch einer der Gründe, warum Samsung seine Geräte besonders absichern will. Mit der Zusatzumgebung „Knox“ lassen sich Container im Betriebssystem des Smartphones erstellen und die private Daten von geschäftlichen trennen.

Peter Marwan

Für ZDNet veröffentlicht Peter immer wieder Beiträge zum Thema IT Business.

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

2 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago