Der Schlüsselanhänger des Tesla Model X ermöglicht es dem Besitzer, sein Auto automatisch zu entriegeln, indem er sich dem Fahrzeug nähert oder einen Knopf drückt. Wie viele Phone-as-a-Key-Lösungen nutzt auch der Schlüsselanhänger des Model X Bluetooth Low Energy (BLE) um mit dem Fahrzeug zu kommunizieren.
Wissenschaftler von Cosic, einer Forschungsgruppe des Imec an der belgischen Universität Löwen, haben nun große Sicherheitsmängel im schlüssellosen Zugangssystem des Tesla Model X vorgestellt. Sie haben auch bereits das günstigere Model S gehackt und zeigen jetzt detailliert, wie sie die im neueren Model X implementierten Sicherheitsmaßnahmen in wenigen Minuten umgehen konnten.
Diebstahl in wenigen Minuten
Lennert Wouters, Doktorand in der Cosic-Forschungsgruppe, erklärt, wie die Wissenschaftler vorgingen: „Mithilfe einer modifizierten elektronischen Steuereinheit (ECU), die wir von einem geborgenen Tesla Model X erhalten haben, konnten wir drahtlos (bis zu 5 m Entfernung) Schlüsselanhänger dazu zwingen, sich selbst als anschließbare BLE-Geräte zu bewerben.“
Durch Reverse Engineering des Schlüsselanhängers entdeckten die Forscher dabei, dass die BLE-Schnittstelle Fernaktualisierungen der auf dem BLE-Chip laufenden Software ermöglicht. „Da dieser Aktualisierungsmechanismus nicht ordnungsgemäß gesichert war, konnten wir einen Schlüsselanhänger drahtlos kompromittieren und die volle Kontrolle über ihn übernehmen“, beschreibt Wouters. „Anschließend konnten wir gültige Freigabemeldungen erhalten, um das Auto später freizugeben.“
Das Cosic-Team stellte dann eine Verbindung zur Diagnoseschnittstelle her, die normalerweise von Servicetechnikern verwendet wird. Wouters: „Aufgrund einer Schwachstelle in der Implementierung des Pairing-Protokolls können wir einen modifizierten Schlüsselanhänger mit dem Auto paaren, was uns einen permanenten Zugang und die Möglichkeit bietet, mit dem Auto loszufahren.“
Zwei Schwachstellen aufgedeckt
Zusammengefasst heißt das: Die Forscher hackten das Model X, indem sie sich dessen Besitzer auf etwa 5 m näherten, um den Schlüsselanhänger aufzuwecken. Dann spielten sie ihre eigene Software auf den Schlüsselanhänger auf, um die volle Kontrolle über ihn zu erlangen. Dieser Vorgang dauert zwar rund anderthalb Minuten, kann aber problemlos in mehr als 30 m Entfernung durchgeführt werden.
Ist der Schlüsselanhänger kompromittiert, erhalten die Forscher gültige Befehle, mit denen sich das Zielfahrzeug entriegeln lässt. „Durch die Verbindung mit dem Diagnosestecker können wir einen modifizierten Schlüsselanhänger mit dem Fahrzeug koppeln“, erklärt Cosic-Forscher Dr. Benedikt Gierlichs den nächsten Schritt. „Mit dem neu gepaarten Schlüsselanhänger können wir dann das Fahrzeug starten und losfahren.“
Aufbau des Hacking-Geräts
Der Proof-of-Concept-Angriff wurde mit einem selbstgebauten Gerät aus vergleichsweise kostengünstigen Komponenten realisiert. Dazu gehören:
ein Raspberry-Pi-Computer (30 Euro) mit einem CAN-Schutzschild (25 Euro)
ein modifizierter Schlüsselanhänger und eine ECU aus einem Bergungsfahrzeug (84 Euro bei eBay)
eine LiPo-Batterie (25 Euro)
Sicherheits-Update soll Fehler beheben
Die belgischen Forscher informierten Tesla bereits am 17. August 2020 über die identifizierten Probleme. Tesla bestätigte die Schwachstellen und belohnte die Ergebnisse mit einer Fehlerprämie. Als Teil des Over-the-Air-Updates 2020.48, das jetzt auf den Markt kommt, soll ein Firmware-Update für den Schlüsselanhänger die Security-Lücken beheben.