Bjorn Solande

Wie Tesla seine App hätte schützen sollen – anstatt den Anwendern die Schuld zu geben

Eine Sicherheitsfirma hat kürzlich gezeigt, wie einfach Hacker einen Tesla stehlen können – indem sie die Tesla-App hacken. Für Tesla ist klar, wer die Schuld trägt: die Anwender. Bjørn Søland, IoT-Experte bei Nexus, sieht das aber etwas anders.

Die Fachleute der norwegischen Sicherheitsfirma Promon zeigen in einem Video, wie schnell und einfach sich ein Tesla mit einer manipulierten App öffnen und starten lässt. Sie nutzen aus, dass der OAuth-Token (quasi der Autoschlüssel) als Klartext abgelegt wird. Also unverschlüsselt und einfach zu finden.

OAuth ist ein offenes Protokoll, das für die sichere API-Autorisierung für Desktop-, Web- und Mobile-Anwendungen eingesetzt wird. Das Protokoll ermöglicht es, Anwendungen den Zugriff auf Benutzerdaten zu erlauben, ohne dafür Passwörter übertragen zu müssen. Ist der OAuth-Token bekannt, kann damit der Tesla aufgesperrt werden. Ein paar Code-Zeilen mehr – und der Motor lässt sich starten …

Für den Experten Bjørn Søland, der bereits für Sicherheitsfirmen wie Promon gearbeitet hat, ist die Reaktion seitens Tesla nicht überraschend. Ein Tesla-Sprecher beschwichtigte und meinte, dass dem Unternehmen noch kein Diebstahl gemeldet wurde, der mithilfe einer manipulierten App durchgeführt wurde. Außerdem decke das Video keine Schwachstelle auf, die ausschließlich die Tesla-App beträfe. Vielmehr zeige das Video das, was im Grunde jeder Smartphone-Besitzer ahne: dass nämlich in dem Moment, in dem das Smartphone gehackt ist, auch die darauf installierten Apps nicht mehr sicher sind.

Für Tesla ist klar, dass die Anwender in der Pflicht sind. Denn wenn sie auf Tricks wie Social Engineering hereinfallen und sich Malware auf ihr Smartphone laden … dann riskieren sie, dass das komplette Smartphone infiziert wird. Betroffen ist dann auch die Tesla-App. Tesla empfiehlt deshalb, das Betriebssystem des Smartphone immer aktuell zu halten.

Moment mal! Macht es sich Tesla da nicht ein bisschen zu einfach? Schauen wir uns an, was Anwender in Sachen Smartphone-Sicherheit tun können.

Laut den Sicherheitsexperten von Promon wurde die für den Hack verwendete Malware von Google Play heruntergeladen. Bjørn Søland sieht die Sache so:

„Anwender, die sich die App von dort heruntergeladen und installiert haben, haben das Richtige gemacht und einem offiziellen App-Store vertraut. Mit dem WLAN-Gratisangebot als Lockvolgel wurden die Anwender dann in die Falle gelockt und dazu verleitet, die Malware herunterzuladen, mit deren Hilfe die Hacker sich dann Root-Zugriff auf dem Smartphone verschafft haben.“

Der Experte erklärt weiter: Ein solcher Privilege-Escalation-Angriff (Rechteausweitung) funktioniert nur, wenn ein entsprechender Bug in der Software vorliegt und ausgenutzt werden kann. Und der in diesem Fall ausgenutzte Bug existiert in alten Version des Android-Betriebssystems, einschließlich der Version 5.1, die heute noch auf vielen Millionen Geräten läuft.

Das belegt ein Blick auf die Zahlen: laut dem Android Developer Dashboard ist Stand November 2016 nur auf 0,3 % aller Android-Devices die Version 7 aus dem Jahr 2016 installiert. 24 % der Geräte laufen noch mit der Version 6 aus dem Jahr 2015. Das bedeutet, dass rund 75 % aller Android-Geräte anfällig für die Sicherheitslücke sind, die Promon für den Hack ausgenutzt hat.

Viele Smartphones werden von den Herstellern nicht mehr aktualisiert, wenn sie länger als ein Jahr auf dem Markt sind. Deshalb ist es sehr wahrscheinlich, dass viele Tesla-Besitzer eine alte Android-Version auf ihrem Smartphone installiert haben. Tesla rät also seinen Kunden etwas zu tun, was sie gar nicht tun können. Dazu kommt, dass Tesla es nicht geschafft hat, den OAuth-Token ausreichend vor Missbrauch zu schützen.

Stellen wir jetzt noch einmal die Schuldfrage! Nicht die Anwender haben den Startschlüssel für ihr Fahrzeug ins Handschuhfach gelegt – sondern Tesla.

Tesla ist ein prominentes Beispiel für IoT-Technologie. Das Unternehmen investiert sicher viel Geld in die Sicherheit ihrer Produkte. Bjørn Søland gibt trotzdem ein paar Sicherheits-Tipps:

  • Wenn Sie ein Produkt verkaufen, bei dem die Anwender nicht erkennen können, ob ein Link „gut“ oder „böse“ ist – verkaufen Sie es nicht. Denn Anwender werden darauf klicken.
  • Rechnen Sie damit, dass mobile Endgeräte von Malware infiziert werden.
  • Ein System für die mobile Authentifizierung sicher zu machen, ist keine leichte Aufgabe. Holen Sie sich das notwendige Know-how von Unternehmen, die sich damit auskennen.
  • Versichern Sie sich, dass der Code der Lösung, die sie für die mobile Authentifizierung einsetzen, gut geschützt ist.
  • Legen Sie Wert auf Sicherheitsfeatures, die die App bei der Anwendung zusätzlich absichern.
  • Stellen Sie sicher, dass jede App-Installation einen eigenen Verschlüsselungsschlüssel verwendet und kein Schlüssel für alle Installationen geteilt wird. Informieren Sie sich über eine Public Key Infrastructure.
  • Denken Sie schon beim Produktdesign an dessen Sicherheit. Später ist es in der Regel zu spät.

Published 29/11 2016

News and Blog