Diebstahl: Flipper Zero entriegelt Teslas schneller als man schauen kann

Ein einfacher Phishing-Angriff mit einem Flipper Zero-Gerät kann dazu führen, Tesla-Konten zu kompromittieren, Autos zu ent­rie­geln und zu starten. Der Angriff funktioniert mit der neuesten Tesla-App, Version 4.30.6, und der Tesla-Softwareversion 11.1 2024.2.7.
Logo, Auto, Elektroautos, tesla, Elektroauto, E-Auto, Tesla Motors, Model 3, Tesla Model 3, Tesla Model S

Tesla glaubt nicht an Risiko

Das berichtet das Online-Magazin Bleeping Computer und bezieht sich dabei auf eine Veröffentlichung der Sicherheitsforscher Talal Haj Bakry und Tommy Mysk.

Diese hatten das Problem bereits an Tesla gemeldet und wiesen darauf hin, dass bei der Verknüpfung eines Fahrzeugs mit einem neuen Telefon keine angemessene Authentifizierungssicherheit genutzt wird. Tesla soll daraufhin entschieden haben, dass es sich dabei um kein reales Sicherheitsrisiko handelt - daher veröffentlichten die beiden Experten jetzt ihre Erkenntnisse, unter anderem mit einem interessanten Video:

Auf YouTube ansehen
Das Video zeigt, dass Tesla weder seine Nutzer noch seine Fahrzeuge vor gestohlenen Anmeldedaten schützt. Denn ein Angreifer, der irgendwie an die Anmeldedaten des Tesla-Kontos eines Fahrzeugs gelangt, kann die Kontrolle über das Auto übernehmen und damit wegfahren. In diesem Fall wird ein Flipper Zero eingesetzt, um einen gefälschten WLAN-Hotspot an einem Supercharger aufzubauen und damit die Zugangsdaten anzufangen.

Fehlende Sicherheit

Das Hauptproblem besteht darin, dass Tesla für die Aktivierung eines Telefonschlüssels nur die E-Mail-Adresse und das Passwort eines Kontos sowie die Anwesenheit in der Nähe des Tesla-Fahrzeugs benötigt. Mit einem aktivierten Telefonschlüssel hat ein Besitzer dann allerdings ebenso wie ein Angreifer die volle Kontrolle über das Fahrzeug.

Dieser Trick funktioniert nicht nur mit dem Flipper Zero, sondern zum Beispiel auch mit einem Raspberry Pi. Talal Haj Bakry und Tommy Mysk erläutern dazu weiter: "In diesem Video haben wir gezeigt, wie einfach es ist, die Anmeldedaten eines Tesla-Kontos zu erhalten. Bei Tesla-Konten kann optional eine Multi-Faktor-Authentifizierung aktiviert werden, die jedoch, wie im Video gezeigt, leicht umgangen werden kann.

Wir haben Tesla wegen dieses Problems kontaktiert, und sie haben festgestellt, dass dies das beabsichtigte Verhalten ist. Ihre Antwort war keine Überraschung, da sie bereits in ihrem Bug Bounty-Programm angeben, dass Phishing- und Social-Engineering-Angriffe nicht infrage kommen. (https://bugcrowd.com/tesla)

Wir hoffen, dass dieses Video das Bewusstsein für dieses Thema schärfen wird. Wenn Sie dieses Video hilfreich fanden, empfehlen Sie es bitte Ihren Freunden und Bekannten, insbesondere wenn sie Tesla-Besitzer sind."

Zusammenfassung
  • Flipper Zero-Gerät ermöglicht Phishing-Angriffe auf Tesla-Konten
  • Tesla-Versionen 4.30.6 und 11.1 2024.2.7 anfällig für Sicherheitslücken
  • Sicherheitsforscher berichten über mangelnde Authentifizierung bei Tesla
  • Tesla ignoriert Risiko von Account-Diebstahl und Fahrzeugkontrolle
  • Telefonschlüssel-Aktivierung bei Tesla nur mit E-Mail und Passwort
  • Multi-Faktor-Authentifizierung bei Tesla-Konten leicht zu umgehen
  • Sicherheitsforscher appellieren an Tesla-Besitzer zur Vorsicht

Siehe auch:
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Teslas Aktienkurs in Euro
Tipp einsenden
❤ WinFuture unterstützen
Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!