Forscher haben demonstriert, wie sie durch einen Man-in-the-Middle (MiTM) Phishing-Angriff Tesla-Konten kompromittieren können, was es ihnen ermöglicht, Autos zu entsperren und zu starten. Der Angriff funktioniert mit der neuesten Tesla-App-Version 4.30.6 und der Tesla-Softwareversion 11.1 2024.2.7.

Im Rahmen dieses Angriffs registrieren die Sicherheitsforscher Talal Haj Bakry und Tommy Mysk einen neuen „Phone Key“, der verwendet werden kann, um auf den Tesla zuzugreifen.

Die Forscher haben ihre Ergebnisse Tesla mitgeteilt und darauf hingewiesen, dass das Verknüpfen eines Autos mit einem neuen Telefon keine angemessene Authentifizierungssicherheit bietet. Der Autohersteller stufte den Bericht jedoch als nicht zutreffend ein.

Obwohl die Forscher diesen Phishing-Angriff mit einem Flipper Zero durchführten, könnte er leicht mit anderen Geräten wie einem Computer, einem Raspberry Pi oder einem Android-Handy durchgeführt werden.

Phishing-Angriff Ein Angreifer an einer Tesla-Supercharger-Station könnte ein WLAN-Netzwerk mit dem Namen „Tesla Guest“ bereitstellen, eine SSID, die häufig in Tesla-Servicezentren zu finden ist und mit der Autobesitzer vertraut sind.

Mysk verwendete einen Flipper Zero, um das WLAN-Netzwerk zu übertragen, merkt jedoch an, dass dies auch mit einem Raspberry Pi oder anderen Geräten mit WLAN-Hotspot-Funktion erreicht werden kann.

Sobald das Opfer mit dem gefälschten Netzwerk verbunden ist, wird ihm eine gefälschte Tesla-Anmeldeseite präsentiert, auf der es aufgefordert wird, sich mit seinen Tesla-Kontodaten anzumelden. Alles, was das Opfer auf der Phishing-Seite eingibt, kann der Angreifer in Echtzeit auf dem Flipper Zero sehen.

Nach der Eingabe der Tesla-Kontodaten fordert die Phishing-Seite das Einmalpasswort für das Konto an, um den Angreifer den Schutz durch die Zwei-Faktor-Authentifizierung zu umgehen.

Der Angreifer muss handeln, bevor das OTP abläuft, und sich mit den gestohlenen Anmeldedaten in der Tesla-App anmelden. Sobald er im Konto ist, kann der Bedrohungsakteur den Standort des Fahrzeugs in Echtzeit verfolgen.

Hinzufügen eines neuen Schlüssels Der Zugang zum Tesla-Konto des Opfers ermöglicht es dem Angreifer, einen neuen „Phone Key“ hinzuzufügen. Dafür müssen sie sich in unmittelbarer Nähe des Autos befinden, nur wenige Meter entfernt.

Phone Keys nutzen die Tesla-Mobile-App in Verbindung mit dem Smartphone des Autobesitzers, um das Fahrzeug automatisch über eine sichere Bluetooth-Verbindung zu ver- und entriegeln.

Tesla-Autos verwenden auch Card Keys, die schlanke RFID-Karten sind, die auf den RFID-Leser der Mittelkonsole gelegt werden müssen, um das Fahrzeug zu starten. Obwohl sicherer, betrachtet Tesla sie als Backup-Option, falls der Phone Key nicht verfügbar oder leer ist.

Mysk sagt, dass das Hinzufügen eines neuen Phone Keys über die App nicht erfordert, dass das Auto entriegelt wird oder das Smartphone sich im Fahrzeug befindet, was eine erhebliche Sicherheitslücke darstellt.

Noch schlimmer ist, dass der Tesla-Besitzer keine Benachrichtigung über die App erhält, wenn ein neuer Phone Key hinzugefügt wird, und auf dem Touchscreen des Autos keine Warnung angezeigt wird.

Mit dem neuen Phone Key kann der Angreifer das Auto entriegeln und alle seine Systeme aktivieren, sodass er wegfahren kann, als wäre er der Besitzer.

Mysk merkt an, dass der Angriff bei einem Tesla Model 3 erfolgreich ist. In dem Bericht an das Unternehmen weist der Forscher darauf hin, dass das gekaperte Tesla-Konto dem Hauptfahrer gehören muss und dass das Fahrzeug bereits mit einem Phone Key verknüpft sein muss.

Die Forscher argumentieren, dass die Anforderung eines physischen Tesla Card Keys beim Hinzufügen eines neuen Phone Keys die Sicherheit verbessern würde, indem eine Authentifizierungsebene für das neue Telefon hinzugefügt wird.

„Ich konnte einen zweiten Phone Key auf einem neuen iPhone hinzufügen, ohne dass die Tesla-App mich aufforderte, eine Keycard zu verwenden, um die Sitzung auf dem neuen iPhone zu authentifizieren. Ich habe mich nur auf dem neuen iPhone mit meinem Benutzernamen und Passwort angemeldet, und sobald ich der App den Zugriff auf die Standortdienste gewährte, wurde der Phone Key aktiviert“, schrieben Tommy Mysk und Talal Haj Bakry in dem Bericht an Tesla.

Das Unternehmen antwortete, indem es sagte, dass seine Untersuchung ergab, dass es das beabsichtigte Verhalten war und dass im Handbuch des Tesla Model 3 nicht angegeben ist, dass eine Keycard benötigt wird, um einen Phone Key hinzuzufügen.

BleepingComputer hat Tesla mit Fragen zu den oben genannten Punkten kontaktiert und gefragt, ob sie planen, ein OTA-Update zu veröffentlichen, das Sicherheitsmaßnahmen einführt, um diese Angriffe zu verhindern, aber wir haben bisher keine Antwort erhalten.