Was hinter dem Tesla-Hack steckt

14. Januar 2022 um 13:07
  • security
  • cyberangriff
  • iot
  • tesla
image

Via Third Party Apps verschaffte sich ein junger Sicherheitsspezialist Zugriff auf mehrere Teslas. Warum das nicht unbedingt beängstigend ist. Eine Einordnung.

David Colombo ist 19 Jahre alt, Hacker und IT-Security-Spezialist. Zu erfahren ist das in seiner Biografie auf Twitter. Auf dem sozialen Netzwerk verkündete er Anfang Woche, dass er 25 Teslas in 13 verschiedenen Ländern unter seine Kontrolle gebracht habe.
Der Tweet hat schnell an Fahrt aufgenommen, wurde gelikt und retweetet und auch Medien wie 'Bloomberg' haben darüber berichtet. So dramatisch wie die Meldung auf den ersten Blick aber klingt, ist sie indes nicht. Wie Colombo auf Twitter selbst schreibt, hat er keine Lücke in der Tesla-eigenen Software ausgenutzt, sondern in Third-Party-Applikationen, wie es sie wie Sand am Meer gibt. Sie heissen zum Beispiel "Teslafi", "Teslamate" oder "Teslascope" und helfen Besitzerinnen und Besitzern der entsprechenden Fahrzeuge unter anderem dabei, Fahrzeugdaten, Fahrtenbücher, Analysen und Auswertungen darzustellen.
Damit diese Apps funktionieren, müssen Tesla-Besitzerinnen und -Besitzer diesen Apps über eine API mittels Tesla-Token Zugriff auf ihr Nutzerkonto geben. So nützlich diese Apps auch sind, so risikoreich ist auch deren Einsatz. Denn nicht alle erfüllen offensichtlich höchste Sicherheitsstandards. Das bestätigt auch Colombo auf Twitter: Es sei keine Schwachstelle in Teslas Infrastruktur, sondern ein Fehler der Besitzer.
Bei vernetzten Geräten und dem Internet der Dinge können sich Aussenstehende über das schwächste Glied, im aktuellen Fall die Third-Party-Apps, Zugriff verschaffen und je nachdem die Kontrolle darüber übernehmen. Das geht vom Einschalten des Fernsehers, über die Steuerung der Rollläden bis hin zum Einschalten des Radios im Tesla, und kann im schlimmsten Fall tatsächlich schwerwiegende Folgen haben. Um sie zu verhindern, braucht es aber in erster Linie eine hohe Sensibilität für den Umgang mit Zugangsdaten und für die Nutzung von Apps von Drittanbietern mit geringen Sicherheitsstandards.

Loading

Mehr zum Thema

image

Wurde Lockbit zerschlagen?

Ermittler haben den Spiess umgedreht. Auf der Darknet-Seite der Ransomware-Bande zeigt ein Timer, wann die Website abgeschaltet werden soll. Ist das schon das Ende von Lockbit?

publiziert am 20.2.2024
image

Millionen-Kopfgeld auch für Chefs der Alphv-Bande

Nach Hive nimmt die US-Regierung eine weitere Ransomware-Bande ins Visier. Sie hatte in der Schweiz unter anderem Bernina attackiert.

publiziert am 19.2.2024
image

Schwachstellen der deutschen E-ID gibt es auch bei Schweizer Lösung

Aufgrund einer Sicherheitslücke kann die deutsche E-ID dazu genutzt werden, um unter fremdem Namen ein Bankkonto zu eröffnen. Nach aktuellem Stand wäre dies auch beim digitalen Pass der Schweiz möglich.

publiziert am 19.2.2024 1
image

Podcast: Wie geht es Xplain 8 Monate nach dem Cyberangriff?

Anfang Monat hat sich Xplain erstmals öffentlich zum Hackerangriff geäussert. Wenige Tage danach kündigte der Kanton Waadt den Vertrag mit dem Unternehmen. Wir reden darüber, was das bedeutet und wie es weitergeht.

publiziert am 16.2.2024