Weiteres Model S gestohlen (Neuss)

Infos zur Limousine mit Platz für 5+2...

Re: Weiteres Model S gestohlen (Neuss)

von Leto » 9. Dez 2017, 01:16

Wer immer eine App oder Anwendungen Dritter verwendet geht ein unkalkulierbares Risiko ein. Passive Entry ist handhabbar. Aber es ist auch nicht ausschließen das der FOB an sich gehackt ist. Wir werden sehen.

Herzliches Beileid auf jeden Fall und die Diebe möge der Blitz beim Scheisen treffen.
2. Model S 90D, seit 9/16, Midnight Silver/Grau/Carbon, Lenkassistent aka AP1, alles außer Tiernahrung und Pano, E.ON Basisbox Kombi und wallb-e eco, je 22kW und BEW "ein Preis" Roaming Vertrag für RWE Säulen sowie TNM Ladekarte und Plugsurfing
Benutzeravatar
 
Beiträge: 6915
Registriert: 23. Nov 2013, 19:30

Re: Weiteres Model S gestohlen (Neuss)

von betatester » 9. Dez 2017, 07:14

Es hat sich nicht verhindern lassen dass ich mir im Zuge dessen mal wieder etwas Gedanken zum Sicherheitsthema gemacht habe.

Zur API:
Wenn jemand von Diebstahl betroffen ist, werden relativ rasch Dritthersteller Apps als Ursache ins Rennen geworfen. Soweit ich weiß, wurde so ein Angriff aber noch nie nachgewiesen. Das ändert aber nichts daran, dass die API dringend mehr Security-by-design braucht. Tesla muss, für Leute die Daten loggen möchten, deshalb endlich die Möglichkeit einführen, einen Sub-Account anzulegen der weniger Rechte hat. Zum Beispiel nur Leserechte, oder zumindest nicht das Recht, mit dem Auto wegzufahren.
Damit wäre dieser Angriffsvektor schon mal massiv entschärft.
Oder vielleicht eine Einstellung im Auto, mit der sich das schlüssellose Wegfahren generell deaktivieren lässt. Wär auch schon fein. Ich zum Beispiel nutze die App nur für Standardaufgaben wie Vorklimatisieren. Auf ein schlüsselloses Fahren nach App Authentifizierung lege ich keinen Wert, da nehme ich auch zusätzlichen Aufwand in Kauf bei Schlüsselverlust, vergessen etc.

Derzeit werden fast täglich von irgendwelchen Web Diensten ganzen Datenbanken abgegriffen. Man stelle sich vor, jemand holt sich die ganze Benutzerdatenbank von teslafi - was für eine Horrorvision. Tausende Tesla Accounts, idealerweise gleich mit Standortdaten wo sich die Fahrzeuge bei der letzten Kontaktaufnahme befanden.
Zudem sage ich voraus: Mit steigender Größe der der Tesla Flotte werden Phishing Mails kommen ("Ihr Tesla Account benötigt Verifizierung!"), um Zugangsdaten abzugreifen.
Das ist jetzt schon sehr gefährlich, weil üblicherweise einkassierte Zugangsdaten gleich mal bei allen möglichen Diensten durchprobiert werden. Viele benutzen für alle möglichen Accounts die selbe E-Mail Adresse und das selbe Kennwort. Wenn man auf ein Phishing Formular reingefallen ist, muss man damit rechnen dass die übermittelten Zugangsdaten bei allen populären Plattformen durchprobiert werden. Da mag Tesla vielleicht noch nicht dazu gehören, die Gefahr besteht aber, zumal das alles automatisiert abläuft und den Angreifer nicht viel Zeit kostet.

Zum FOB:
Gegen eine Funkverlängerung ist man ja offenbar, Easy Entry abschalten ausgenommen, relativ machtlos. Hier wäre eine Horrorvision eine Lücke in dem Konzept an sich, zb. dass jemand drauf kommt das das Auto auch auf Übermittlung von irgendwelchen Dummy Signalen reagiert. Also vergleichbar mit der Apple Lücke vor kurzem, wo jemand bemerkte dass man sich als root mit leerem Kennwort anmelden kann, unter leicht herstellbaren Bedingungen. Hier macht mir aber auch das Konzept des M3 Sorgen, das sich ja bei Bluetooth Verbindung mit dem Handy des Besitzers öffnen soll. Hier sind Angriffe mMn. vorprogrammiert.

Was die Aufklärung angeht:
Im anderen aktuellen Thread wurde erwähnt, dass laut Tesla das Auto das letzte mal um drei Uhr morgens "sichtbar" war. Die müssten doch in den Logs auch sehen, wie das Öffnen/Starten des Wagens zustande kam. Also ob durch App oder durch FOB.
"Wall-E": MS P90D FL schwarz, BJ 12/2016, LTE, AP2
(Energiesparmodus An, Immer Verbunden Aus, Range Mode Aus)
Benutzeravatar
 
Beiträge: 483
Registriert: 19. Nov 2016, 15:50

Re: Weiteres Model S gestohlen (Neuss)

von pEAkfrEAk » 9. Dez 2017, 09:58

betatester hat geschrieben:Viele benutzen für alle möglichen Accounts die selbe E-Mail Adresse und das selbe Kennwort. Wenn man auf ein Phishing Formular reingefallen ist, muss man damit rechnen dass die übermittelten Zugangsdaten bei allen populären Plattformen durchprobiert werden. Da mag Tesla vielleicht noch nicht dazu gehören, die Gefahr besteht aber, zumal das alles automatisiert abläuft und den Angreifer nicht viel Zeit kostet.

Genau aus dem Grund habe ich mir eine neue eMail-Adresse angelegt, die ich ausschließlich für myTesla nutze. Auf der Adresse kommt also keine Werbung/Spam oder sonstiger eMail-Verkehr an. Drittanbieter-Apps für Tesla meide ich komplett. Zusätzlich habe ich dann noch PassiveEntry deaktiviert. Ich denke, viel mehr an "Sicherheit" kann nicht machen, ohne das es dann auch zu unkomfortabel wird (z.B. Lenkradkralle). Mir persönlich wäre das zu umständlich. Ich denke uns allen ist klar, dass es keine absolute Sicherheit gibt, aber man kann zumindest das Risiko minimieren, wenn man ein paar Grundregeln beachtet.
Model S 75D | EZ 11/2017 | Firmware 8.1 Build 2018.14.2
Pearl White mit Ultra White Seats , Glasdach, 21 Zoll Turbine grau, Premium- & Komfortpaket, AP2.5

Referral Code: http://ts.la/oli6149 | gratis Supercharger-Nutzung
Benutzeravatar
 
Beiträge: 786
Registriert: 28. Jul 2017, 08:24
Wohnort: Bremen

Re: Weiteres Model S gestohlen (Neuss)

von sustain » 9. Dez 2017, 10:10

Eins kann man noch tun, ab und zu das Tesla Passwort ändern, gerade nach solchen Nachrichten hier, sollten Daten im Umlauf sein ist durch die Änderung des Passwortes erstmal wieder etwas mehr Sicherheit hergestellt.
Jeder der free Supercharging bei der Bestellung eines Neuwagens bekommen will + 500 EUR Service-Guthaben(erster Bestellplatz noch frei), kann diesen link ohne Rücksprache nutzen: http://ts.la/ulf6906

S100D - FW 2018.10 9982696/AP2
 
Beiträge: 1790
Registriert: 4. Mai 2017, 18:21

Re: Weiteres Model S gestohlen (Neuss)

von pEAkfrEAk » 9. Dez 2017, 10:14

Guter Punkt, sustain. Kennwörter sollte man ja generell regelmäßig ändern.
Model S 75D | EZ 11/2017 | Firmware 8.1 Build 2018.14.2
Pearl White mit Ultra White Seats , Glasdach, 21 Zoll Turbine grau, Premium- & Komfortpaket, AP2.5

Referral Code: http://ts.la/oli6149 | gratis Supercharger-Nutzung
Benutzeravatar
 
Beiträge: 786
Registriert: 28. Jul 2017, 08:24
Wohnort: Bremen

Re: Weiteres Model S gestohlen (Neuss)

von betatester » 9. Dez 2017, 10:19

Natürlich. Aber das alles wäre weniger gefährlich, wenn jemand mit meinem Login schlimmstenfalls vorheizen könnte.
Daher würde ich es sehr schätzen wenn ich das fahren ohne fob an Board deaktivieren könnte. Eventuell auch das öffnen des Fahrzeugs.
"Wall-E": MS P90D FL schwarz, BJ 12/2016, LTE, AP2
(Energiesparmodus An, Immer Verbunden Aus, Range Mode Aus)
Benutzeravatar
 
Beiträge: 483
Registriert: 19. Nov 2016, 15:50

Re: Weiteres Model S gestohlen (Neuss)

von Fjack » 9. Dez 2017, 10:31

pEAkfrEAk hat geschrieben:Guter Punkt, sustain. Kennwörter sollte man ja generell regelmäßig ändern.


Nein, mittlerweile sehen das viele anders.

20 oder mehr Kennwörter die sich ändern kann sich keiner merken, diese werden dann irgendwo zentral abgelegt und können komplett abgegriffen werden.
seit 26.05.15 S85D, Doppellader, Tech., Luft., Winter., grau
 
Beiträge: 2169
Registriert: 16. Nov 2013, 20:29

Re: Weiteres Model S gestohlen (Neuss)

von Leto » 9. Dez 2017, 10:33

pEAkfrEAk hat geschrieben:Guter Punkt, sustain. Kennwörter sollte man ja generell regelmäßig ändern.


Das ist nicht mehr richtig. Früher hat man so gedacht. Aber das führt zu aufgeschriebenen oder per Algorithmus zu erschließenden Passwörtern, niemand kann sich dauernd gute Passwörter merken.

Also gutes Passwort und dieses nicht irgendeinem Code vorwerfen. Wer sich Sorgen um die Aufbewahrung bei Tesla macht sollte sich noch viel mehr um die bei irgendwelchen Hobby-App. oder Cloud Bastlern machen. Gerade die aktuelle Generation hat keine Ahnung von Security, glaubt die Cloud Provider die ihnen Hardware stellen, etc. machen das schon...

Ich kann nur sagen: Finger weg.
2. Model S 90D, seit 9/16, Midnight Silver/Grau/Carbon, Lenkassistent aka AP1, alles außer Tiernahrung und Pano, E.ON Basisbox Kombi und wallb-e eco, je 22kW und BEW "ein Preis" Roaming Vertrag für RWE Säulen sowie TNM Ladekarte und Plugsurfing
Benutzeravatar
 
Beiträge: 6915
Registriert: 23. Nov 2013, 19:30

Re: Weiteres Model S gestohlen (Neuss)

von Leto » 9. Dez 2017, 10:33

Fjack hat geschrieben:
pEAkfrEAk hat geschrieben:Guter Punkt, sustain. Kennwörter sollte man ja generell regelmäßig ändern.


Nein, mittlerweile sehen das viele anders.

20 oder mehr Kennwörter die sich ändern kann sich keiner merken, diese werden dann irgendwo zentral abgelegt und können komplett abgegriffen werden.


:D überschnitten. Absolut richtig.
2. Model S 90D, seit 9/16, Midnight Silver/Grau/Carbon, Lenkassistent aka AP1, alles außer Tiernahrung und Pano, E.ON Basisbox Kombi und wallb-e eco, je 22kW und BEW "ein Preis" Roaming Vertrag für RWE Säulen sowie TNM Ladekarte und Plugsurfing
Benutzeravatar
 
Beiträge: 6915
Registriert: 23. Nov 2013, 19:30

Re: Weiteres Model S gestohlen (Neuss)

von sustain » 9. Dez 2017, 10:40

Ihr mögt ja vielleicht recht haben, ich halte aber wenig von solch pauschalen Verallgemeinerungen. Ich für meinen Teil mach das regelmässig und meine Passwörter sind abgriffsicher gelagert ;). Ich hab mein Passwort geändert nach der Info hier, das kann aber jeder machen wie er gern möchte.
Jeder der free Supercharging bei der Bestellung eines Neuwagens bekommen will + 500 EUR Service-Guthaben(erster Bestellplatz noch frei), kann diesen link ohne Rücksprache nutzen: http://ts.la/ulf6906

S100D - FW 2018.10 9982696/AP2
 
Beiträge: 1790
Registriert: 4. Mai 2017, 18:21

VorherigeNächste

Wer ist online?
Mitglieder in diesem Forum: wega64 und 5 Gäste