Diebstahl: Flipper Zero entriegelt Teslas schneller als man schauen kann
Ein einfacher Phishing-Angriff mit einem Flipper Zero-Gerät kann dazu führen, Tesla-Konten zu kompromittieren, Autos zu entriegeln und zu starten. Der Angriff funktioniert mit der neuesten Tesla-App, Version 4.30.6, und der Tesla-Softwareversion 11.1 2024.2.7.
Diese hatten das Problem bereits an Tesla gemeldet und wiesen darauf hin, dass bei der Verknüpfung eines Fahrzeugs mit einem neuen Telefon keine angemessene Authentifizierungssicherheit genutzt wird. Tesla soll daraufhin entschieden haben, dass es sich dabei um kein reales Sicherheitsrisiko handelt - daher veröffentlichten die beiden Experten jetzt ihre Erkenntnisse, unter anderem mit einem interessanten Video:
Auf YouTube ansehen
Das Video zeigt, dass Tesla weder seine Nutzer noch seine Fahrzeuge vor gestohlenen Anmeldedaten schützt. Denn ein Angreifer, der irgendwie an die Anmeldedaten des Tesla-Kontos eines Fahrzeugs gelangt, kann die Kontrolle über das Auto übernehmen und damit wegfahren. In diesem Fall wird ein Flipper Zero eingesetzt, um einen gefälschten WLAN-Hotspot an einem Supercharger aufzubauen und damit die Zugangsdaten anzufangen.
Dieser Trick funktioniert nicht nur mit dem Flipper Zero, sondern zum Beispiel auch mit einem Raspberry Pi. Talal Haj Bakry und Tommy Mysk erläutern dazu weiter: "In diesem Video haben wir gezeigt, wie einfach es ist, die Anmeldedaten eines Tesla-Kontos zu erhalten. Bei Tesla-Konten kann optional eine Multi-Faktor-Authentifizierung aktiviert werden, die jedoch, wie im Video gezeigt, leicht umgangen werden kann.
Wir haben Tesla wegen dieses Problems kontaktiert, und sie haben festgestellt, dass dies das beabsichtigte Verhalten ist. Ihre Antwort war keine Überraschung, da sie bereits in ihrem Bug Bounty-Programm angeben, dass Phishing- und Social-Engineering-Angriffe nicht infrage kommen. (https://bugcrowd.com/tesla)
Wir hoffen, dass dieses Video das Bewusstsein für dieses Thema schärfen wird. Wenn Sie dieses Video hilfreich fanden, empfehlen Sie es bitte Ihren Freunden und Bekannten, insbesondere wenn sie Tesla-Besitzer sind."
Siehe auch:
Tesla glaubt nicht an Risiko
Das berichtet das Online-Magazin Bleeping Computer und bezieht sich dabei auf eine Veröffentlichung der Sicherheitsforscher Talal Haj Bakry und Tommy Mysk.Diese hatten das Problem bereits an Tesla gemeldet und wiesen darauf hin, dass bei der Verknüpfung eines Fahrzeugs mit einem neuen Telefon keine angemessene Authentifizierungssicherheit genutzt wird. Tesla soll daraufhin entschieden haben, dass es sich dabei um kein reales Sicherheitsrisiko handelt - daher veröffentlichten die beiden Experten jetzt ihre Erkenntnisse, unter anderem mit einem interessanten Video:
Auf YouTube ansehenDas Video zeigt, dass Tesla weder seine Nutzer noch seine Fahrzeuge vor gestohlenen Anmeldedaten schützt. Denn ein Angreifer, der irgendwie an die Anmeldedaten des Tesla-Kontos eines Fahrzeugs gelangt, kann die Kontrolle über das Auto übernehmen und damit wegfahren. In diesem Fall wird ein Flipper Zero eingesetzt, um einen gefälschten WLAN-Hotspot an einem Supercharger aufzubauen und damit die Zugangsdaten anzufangen.
Fehlende Sicherheit
Das Hauptproblem besteht darin, dass Tesla für die Aktivierung eines Telefonschlüssels nur die E-Mail-Adresse und das Passwort eines Kontos sowie die Anwesenheit in der Nähe des Tesla-Fahrzeugs benötigt. Mit einem aktivierten Telefonschlüssel hat ein Besitzer dann allerdings ebenso wie ein Angreifer die volle Kontrolle über das Fahrzeug.Dieser Trick funktioniert nicht nur mit dem Flipper Zero, sondern zum Beispiel auch mit einem Raspberry Pi. Talal Haj Bakry und Tommy Mysk erläutern dazu weiter: "In diesem Video haben wir gezeigt, wie einfach es ist, die Anmeldedaten eines Tesla-Kontos zu erhalten. Bei Tesla-Konten kann optional eine Multi-Faktor-Authentifizierung aktiviert werden, die jedoch, wie im Video gezeigt, leicht umgangen werden kann.
Wir haben Tesla wegen dieses Problems kontaktiert, und sie haben festgestellt, dass dies das beabsichtigte Verhalten ist. Ihre Antwort war keine Überraschung, da sie bereits in ihrem Bug Bounty-Programm angeben, dass Phishing- und Social-Engineering-Angriffe nicht infrage kommen. (https://bugcrowd.com/tesla)
Wir hoffen, dass dieses Video das Bewusstsein für dieses Thema schärfen wird. Wenn Sie dieses Video hilfreich fanden, empfehlen Sie es bitte Ihren Freunden und Bekannten, insbesondere wenn sie Tesla-Besitzer sind."
Zusammenfassung
- Flipper Zero-Gerät ermöglicht Phishing-Angriffe auf Tesla-Konten
- Tesla-Versionen 4.30.6 und 11.1 2024.2.7 anfällig für Sicherheitslücken
- Sicherheitsforscher berichten über mangelnde Authentifizierung bei Tesla
- Tesla ignoriert Risiko von Account-Diebstahl und Fahrzeugkontrolle
- Telefonschlüssel-Aktivierung bei Tesla nur mit E-Mail und Passwort
- Multi-Faktor-Authentifizierung bei Tesla-Konten leicht zu umgehen
- Sicherheitsforscher appellieren an Tesla-Besitzer zur Vorsicht
Siehe auch:
Thema:
Teslas Aktienkurs in Euro
Videos zum Thema Tesla
- Fast wie K.I.T.T.: BYD-Supercar Yangwang U9 springt über Schlagloch
- Update zeigt, dass Tesla-Bot Optimus keine Lachnummer mehr ist
- Luxusmarke macht aus Model 3 ein iPhone 13 und Elon-Musk-Büste
- Das Tesla Model S Plaid mit neuer Bestzeit auf dem Nürburgring
- Tesla Crash Lab: So verbessert Tesla die Sicherheit seiner Fahrzeuge
- Einblicke in die neue Tesla Gigafactory Berlin-Brandenburg
- Tesla zeigt, wie man aus Model 3-Teilen Beatmungsgeräte herstellt
Weiterführende Links
Neue Nachrichten
- Aktuelle Technik-Blitzangebote von Amazon im Überblick
- Crash am Smartphonemarkt: Niedrigste Verkaufszahlen seit 13 Jahren
- Switch 2 OLED: Nintendo plant offenbar doch ein Display-Upgrade
- Pixel 11: Mega-Leak zeigt Bilder & Daten der neuen Google-Smartphones
- Insta360 X6: Technische Daten der neuen 8K/50FPS 360°-Actioncam
- Maps: Google startet großes Optik-Update mit immersiver Navigation
- OnePlus ist 'tot': Oppo will bald Rückzug aus EU & USA verkünden
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Alle Kommentare zu dieser News anzeigen