KU Leuven/Imec

Schwerwiegende Mängel im Zugangssystem Tesla Modell X

23. November 2020, 16:46 Uhr | Iris Stroh

Forscher von COSIC, einer Forschungsgruppe des imec an der Universität Löwen in Belgien, haben große Sicherheitsmängel im schlüssellosen Zugangssystem des Tesla Model X entdeckt.

Der Schlüsselanhänger Tesla Modell X ermöglicht es dem Besitzer, sein Auto automatisch zu entriegeln, indem er sich dem Fahrzeug nähert oder einen Knopf drückt. Um die Integration mit Phone-as-as-Key-Lösungen zu erleichtern, die es einer Smartphone-APP erlauben, das Auto zu entriegeln, wird die Verwendung von Bluetooth Low Energy (BLE) bei Schlüsselanhängern immer häufiger eingesetzt. Der Schlüsselanhänger Tesla Modell X ist nicht anders und verwendet BLE zur Kommunikation mit dem Fahrzeug.

»Mit Hilfe einer modifizierten elektronischen Steuereinheit, die wir von einem Tesla Modell X aus der Bergung erhalten haben, konnten wir drahtlos bis zu einer Entfernung von 5 m Schlüsselanhänger dazu zwingen, sich selbst als anschließbare BLE-Geräte zu bewerben. Durch Reverse Engineering des Tesla-Modell-X-Schlüsselanhängers entdeckten wir, dass die BLE-Schnittstelle Fernaktualisierungen der auf dem BLE-Chip laufenden Software ermöglicht. Da dieser Aktualisierungsmechanismus nicht ordnungsgemäß gesichert war, konnten wir einen Schlüsselanhänger drahtlos kompromittieren und die volle Kontrolle über ihn übernehmen. Anschließend konnten wir gültige Freigabemeldungen erhalten, um das Auto später freizugeben«, sagt Lennert Wouters, Doktorand in der COSIC-Forschungsgruppe des Imec.

»Mit der Möglichkeit, das Auto zu entriegeln, könnten wir dann eine Verbindung zur Diagnoseschnittstelle herstellen, die normalerweise von Servicetechnikern verwendet wird. Aufgrund einer Schwachstelle in der Implementierung des Pairing-Protokolls können wir einen modifizierten Schlüsselanhänger mit dem Auto paaren, was uns einen permanenten Zugang und die Möglichkeit bietet, mit dem Auto loszufahren«, fügt Wouters hinzu.

Zwei Schwachstellen aufgedeckt

»Zusammenfassend lässt sich sagen, dass wir ein Fahrzeug vom Typ Tesla Modell X stehlen können, indem wir uns zunächst einem Schlüsselanhänger des Opfers im Umkreis von etwa 5 Metern nähern, um den Schlüsselanhänger aufzuwecken. Danach können wir unsere eigene Software an den Schlüsselanhänger senden, um die volle Kontrolle über ihn zu erlangen. Dieser Vorgang dauert 1,5 Minuten, kann aber problemlos über eine Reichweite von mehr als 30 Metern durchgeführt werden. Nachdem wir den Schlüsselanhänger kompromittiert haben, können wir gültige Befehle erhalten, mit denen wir das Zielfahrzeug entriegeln können. Nachdem wir uns dem Fahrzeug genähert und es entriegelt haben, können wir auf den Diagnosestecker im Inneren des Fahrzeugs zugreifen. Durch die Verbindung mit dem Diagnosestecker können wir einen modifizierten Schlüsselanhänger mit dem Fahrzeug koppeln. Mit dem neu gepaarten Schlüsselanhänger können wir dann das Fahrzeug starten und losfahren. Indem wir diese beiden Schwächen des schlüssellosen Zugangssystems Tesla Modell X ausnutzen, sind wir so in der Lage, das Auto in wenigen Minuten zu stehlen«, sagt Dr. Benedikt Gierlichs, Forscher bei COSIC.

Der Proof-of-Concept-Angriff wurde mit einem selbstgebauten Gerät realisiert, das aus kostengünstigen Geräten gebaut wurde: einem Raspberry-Pi-Computer (35 Dollar) mit einem CAN-Schutzschild (30 Dollar), einem modifizierten Schlüsselanhänger und einer ECU aus einem Bergungsfahrzeug (100 Dollar bei eBay) und einer LiPo-Batterie (30 Dollar).

Die belgischen Forscher informierten Tesla erstmals am 17. August 2020 über die identifizierten Probleme. Tesla bestätigte die Schwachstellen, belohnte ihre Ergebnisse mit einer Fehlerprämie und begann mit der Arbeit an Sicherheitsupdates. Als Teil der Software-Aktualisierung 2020.48, die jetzt auf den Markt gebracht wird, wird ein Firmware-Update auf den Schlüsselanhänger geschoben.