Bluetooth-Lücke: Angreifer können Teslas innerhalb von Sekunden knacken

Sicherheitsforscher haben gezeigt, wie sich Tesla Model 3 und Model Y mühelos und innerhalb von Sekunden vor der Haustür der Besitzer öffnen und starten lassen. Der Angriff klappt auch bei vielen smarten Türschlössern.

Ein Auto ohne Schlüssel öffnen und starten zu können, ist enorm bequem. Kein Wunder also, dass auch Tesla eine solche Funktion für Fahrer der beiden Modelle Y und 3 anbietet: Der Nutzer muss nur die Tesla-App auf seinem Smartphone installieren und den schlüssellosen Zugang einrichten. Danach erkennt der Tesla automatisch, wenn das Handy des Besitzers in unmittelbarer Nähe ist und erlaubt, dass die Tür geöffnet und der Wagen per Knopfdruck gestartet werden kann.

Diese Technologie funktioniert über Bluetooth LE – was den Vorteil hat, dass die meisten aktuellen Smartphones diese Technologie unterstützen. Leider aber auch den Nachteil, dass dieses Verfahren unsicher ist.

Schon früher hatten Sicherheitsforscher das demonstriert: Denn das Bluetooth-LE-Signal – es ist in der Regel auch verfügbar, wenn das Smartphone einfach nur in der Jackentasche steckt oder zu Hause auf dem Wohnzimmertisch liegt – lässt sich mit anderen Geräten zu einem zweiten Handy weiterleiten, das der Angreifer dann in unmittelbare Nähe des Autos hält.

Gegenmaßnahmen halfen zunächst – jetzt nicht mehr

Hersteller wie Tesla versuchten diese Relay-Angriff genannte Attacke zu verhindern, indem sie etwa eine zusätzliche Verschlüsselungsebene einführten. Eine weitere Sicherheitsmaßnahme war, dass die Kommunikation zwischen dem entsperrenden Smartphone und Auto mit nur sehr kurzer Verzögerung erfolgen muss.

Beides sorgte dafür, dass die damaligen Methoden für Relay-Angriffe nicht mehr funktionierten. Doch wirklich sicher wurde das Verfahren dadurch nicht. Das haben Sicherheitsforscher der NCC-Group jetzt demonstriert: Ihre Angriffsmethode funktioniert im Grunde noch immer gleich.

Ein typischer Tesla-Nutzer parkt sein Fahrzeug vor seinem Haus. Das Smartphone liegt irgendwo im Inneren des Hauses. Viel zu weit weg, um den Tesla zu entsperren. Jedoch reicht das Bluetooth-LE-Signal trotzdem bis in den Vorgarten. Dort positioniert der Angreifer dann sein Gerät. Das leitet das Signal weiter zu einem Smartphone des Angreifers, das dieser direkt beim Tesla platziert.

Angriff lässt sich jetzt nicht mehr verhindern

Neue Software sorgt dafür, dass die Verschlüsselung des Signals kein Problem darstellt. Außerdem habe die Signalverzögerung gerade einmal 8 Millisekunden (ms) betragen – Teslas Schutzmaßnahmen erlauben Verzögerungen von bis zu 30 ms.

Das Ergebnis ist, dass der Angreifer die Tür öffnen und den Tesla starten kann, obwohl das Handy des Besitzers 25 Meter entfernt ist.

Laut den Sicherheitsforschern der NCC-Group gebe es derzeit auch keine Möglichkeit, diese Sicherheitslücke durch ein Update zu beheben. Außerdem trete ein ähnliches Problem auch bei zahlreichen anderen smarten Türschlössern auf.

Für Besitzer eines Tesla Model Y oder Model 3 bedeutet das: Sie sollten die Funktion am besten ganz deaktivieren. Alternativ können sie auch einen PIN-Code festlegen, der jeweils zum Starten des Fahrzeugs eingegeben werden muss. Dann könnte ein Angreifer den Wagen zwar öffnen, damit aber nicht wegfahren.

Mittelfristig werde Tesla aber ein anderes Funkverfahren als Bluetooth LE verwenden müssen, so die Forscher. Sicherer ist etwa der Ultra-Wide Band-Funk, den neuere iPhone-Modelle bieten, da hier der Abstand zwischen Gerät und Fahrzeug sicher gemessen werden kann. BMW etwa setzt in einigen Modellen bereits auf diese Technologie.