Forscher demonstriert Tesla-Klau mit heimlich eingeschleustem Nachschlüssel
Teslas drahtlose Schlüssel bergen Risiken. Nach den Relay-Angriffen auf Bluetooth LE demonstriert ein Forscher nun Missbrauchspotential der NFC-Karten.
(Bild: Jonathan Weiss/Shutterstock.com)
Tesla setzt voll auf digitalisierte Schlüssel, mit denen man sein Auto möglichst komfortabel öffnen und dann auch starten kann. Doch immer wieder zeigen Forscher Sicherheitsprobleme auf, die einen komfortablen Diebstahl ermöglichen. Jetzt demonstriert der Österreicher Martin Herfurt, wie einfach ein Angreifer Modellen von Tesla seinen eigenen Nachschlüssel unterjubeln kann.
Eine der Möglichkeiten, einen Tesla aufzusperren ist die NFC-Karte, die Eigentümer beim Kauf als Schlüssel erhalten. Das ist zwar weniger komfortabel als das "Phone as a Key" (PaaK), das ohne Zutun via Bluetooth Low Energy (BLE) funktioniert, sobald sich der Fahrer nähert. Doch nachdem erst kürzlich gezeigt wurde, wie ein Man-In-The-Middle als Relaystation in der Nähe des Telefons dem Angreifer das Auto aufsperren und sogar das Losfahren ermöglichen kann, erscheint die NFC-Variante zunächst sicherer.
130 Sekunden sperrangelweit offen
Doch die NFC-Karte soll den Eigentümer eindeutig ausweisen und erlaubt damit dann Zusatzfunktionen, die ein Angreifer ebenfalls zum Tesla-Klau missbrauchen kann. So kann er dem Auto beibringen, einen ganz neuen Key zu akzeptieren. Konkret ist es nach einem NFC-Card-Swipe ganze 130 Sekunden lang möglich, im Tesla einen neuen Key zu hinterlegen, den dieser zukünftig akzeptiert. Das erfolgt normalerweise über die Tesla-App, die dabei auch online prüft, ob gerade wirklich der Eigentümer des Autos angemeldet ist, auf dem der Key platziert werden soll.
Doch wie der Sicherheitsforscher Martin Herfurt bei seiner Analyse des proprietären Protokolls herausgefunden hat, ist diese Autorisierung kein Bestandteil der Kommunikation zwischen der App und dem Fahrzeug. Solange letzteres korrekt angesprochen wird, akzeptiert es letztlich jeden Key – auch den eines Angreifers. Alles, was es dazu braucht, ist eine passende Client-App, die Teslas VCSEC-Protokoll spricht.
Eine solche namens TeslaKee hat Herfurt im Rahmen seines Projekts Tempa erstellt. Wie er im Video "Gone in under 130 Seconds" demonstriert, kann er damit eigene Schlüssel im Tesla platzieren. Die Fahrerin öffnet im Video das Fahrzeug mit einem NFC-Card-Swipe, was die 130-Sekunden-Zeitspanne startet. Während der akzeptiert das Auto dann Bluetooth-LE-Verbindungen, die als autorisiert gelten.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externes YouTube-Video (Google Ireland Limited) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Google Ireland Limited) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
Während sie noch den Gurt anlegt, schleust der in der Nähe befindliche Angreifer via Bluetooth seinen Key ein, der damit als legitimiert gilt. Die Eigentümerin bekommt davon nichts mit; das Fahrzeug-Display gibt keinen Hinweis auf die heimlichen Hintergrund-Aktivitäten. Zu einem beliebigen späteren Zeitpunkt kann der Hacker das Auto via TeslaKee mit dem Nachschlüssel öffnen und losfahren.
Die meistgenutzte Entsperrmethode ist zwar PaaK mit dem Handy. Doch ein Angreifer könnte das gezielt durch BLE-Jamming stören, damit der Besitzer doch die NFC-Karte rausholt und damit nicht nur das Auto öffnet, sondern auch die Schlüsselverwaltung autorisiert, erklärte Herfurt gegenüber heise Security. Dann schützt nur noch ein aktiviertes PIN2Drive, bei dem der Fahrer zusätzlich noch einen Code eingeben muss. Das verhindert übrigens auch den Tesla-Klau durch Relay-Angriffe auf PaaK und BLE. Außerdem empfiehlt der Österreicher, in der App regelmäßig seine autorisierten Schlüssel zu checken.
Getestet hat Herfurt den beschriebenen Nachschlüssel-Angriff mit den Modellen 3 und Y, die von Haus aus PaaK mit BLE unterstützen. Die neuen 2021+ Facelift-Modelle von S und X haben seit ihrer Verjüngung auch das PaaK-Feature und sind damit vermutlich ebenfalls anfällig, standen jedoch bislang nicht zu konkreten Tests zur Verfügung. Bisher hat sich Tesla noch nicht zu Herfurts Erkenntnissen geäußert.
(ju)
