Passend zum Launch der deutschen iPhone- und Android-App:
chip.de/news/Tesla-Model-S-E … 47100.html
und etwas ausführlicher in englisch:
autoblog.com/2013/08/25/tesl … e-hackers/
Es beunruhigt mich ja schon ein wenig, das TM hier derart offensichtliche Sicherheitslücken produziert
„… stored on website databases that are all too easy to hack“
Michael
Glaubst Du, dass die NSA irgend jemand anderes daran lässt, die lassen sich doch nicht von irgend einem Hacker die Leitung blockieren 
Ich hoffe, dass es sich genauso einfach rooten lässt, dann gibt es endlich ein paar gescheite Apps.
Grrr.
Ein Sensation suchender Eggsberde hat einen reißerischen Bericht geschrieben, den man am besten so beschreibt: wenn Du Dein Passwort anderen gibst, kann man Deinen Account hacken.
Und die Presse greift das natürlich völlig kontextfrei auf.
Und alle Versuche, den Eggsberden dazu zu bringen, seinen Artikel so zu schreiben, das er nicht von 99% der Leute falsch verstanden wird, führen zu nichts als Flamewars.
Es ist zum Haare raufen.
Da ist keine gravierende Lücke. Und wenn Du Dein Passwort keinem gibst, passiert Deinem Account auch nichts.
Danke. Hätte ich nicht besser sagen können! 
Eine etwas ausführlichere Diskussion zu dem Thema gibt es bereits hier:
viewtopic.php?f=4&t=1133
Vom rooten der Software im Model S weiß ich noch nichts, aber es gibt schon eine recht detaillierte Dokumentation des Protokolls, über das die Smartphone-App mit dem Auto kommuniziert. Das erlaubt immerhin schonmal eigene Smartphone-Apps oder Websites zu schreiben, die Zustandsinformation vom Fahrzeug abtanken oder das Fahrzeug zu einem gewissen Grad steuern (Klima, Hupe, Licht…). Dafür wird natürlich immer das Fahrzeug-Passwort benötigt!
teslamotorsclub.com/showthre … S-REST-API
github.com/timdorr/model-s-api
Ich habe das anders verstanden: ein Hacker, der sich Zugriff zur API-Datenbank verschafft, kann die max. 3 Monate gültigen Token auslesen und bekommt so Zugriff auf die Autos, ohne dass er Username und Passwort kennen muss.
Oder habe ich das falsch verstanden? Die Frage bleibt natürlich, wie einfach der Znbefugte Zugang zur DB ist.
… so habe ich das auch verstanden. Und ein Zugriff auf die API-Datenbank gehört wohl zum kleinen 1x1 eines Hackers. Und schließlich hat TM ja auch kundgetan, diese Sicherheitslücke schließen zu wollen (… ob das aber ein offizielles Statement war ???)
Aber klar: der reißerische Bericht basiert natürlich nur auf der Meinung von George Reese. Was da wirklich dran ist, wird wohl nur die NSA wissen 
Laut den englischen Foreneinträgen besteht keine einfache sicherheitslücke. D.h. es geht nicht darum das einer sich in tein Telefon hackt und dann den Token kopiert und somit auf alle App-Funktionen zugriff hat. Es geht darum das wenn einer an deine Zugriffsdaten kommt und sich einmal mit der app einloggen kann. Dann nützt es nichts das du dann das passwort änderst, denn der Token währe immer noch gültig.
Rein theoretisch könnte Tesla auch einfach auf dem servern noch 1-2 prüfungen einbauen damit dies klappt, und das ohne die Api anzupassen.
Dies ist inzwischen widerlegt.
Wenn Du Dein Passwort änderst, werden die Token innerhalb kurzer Zeit ungültig.
Und wer sich da wirklich Sorgen macht, kann einfach den APP Zugriff nicht einschalten. Der ist bei Auslieferung des Autos nämlich nicht eingeschaltet.
Man muss also explizit das einschalten und dann seine Credentials einem Dritten geben, bevor hier ein Problem auftritt.
Sturm im Wasserglas.
Hier haben wir eine Neuauflage dieser „dramatischen“ Meldung:
dhanjani.com/blog/2014/03/cu … tions.html
Vielleicht eine gute Gelegenheit, mal das Passwort zu ändern und eins zu nehmen, das wirklich sicher ist – möglichst lang und mit Großbuchstaben, Kleinbuchstaben, Zahlen und Sonderzeichen, und zwar in zufälliger Anordnung. Ein automatisch generiertes Passwort ist in aller Regel „zufälliger“ als eins, was sich ein Mensch ausdenkt oder durch auf-die-Tastatur-patschen erzeugt:
passwort-generator.com/ (zum Beispiel)
Ein gut lesbarer und lesenswerter Exkurs zum Thema Passwort-Sicherheit war vor gut einem Jahr auf Heise Security:
heise.de/security/artikel/Pa … 92413.html
Das schöne an der Tesla-App ist ja, dass sie sich das Passwort merkt. Man kann also ein beliebig kompliziertes Passwort wählen, ohne sich dadurch im Alltag selbst zu behindern.
Abgesehen davon, dass jemand durch verschiedene technische oder soziale Methoden in den Besitz des Tesla-Passworts gelangen könnte, ist auch diese neue Meldung m.E. nur Lärm um nichts.
Jetzt ist auch Heise auf den Zug aufgesprungen:
heise.de/autos/artikel/Tesla … 60721.html
Nochmal zusammengefasst:
Das war’s, mehr gibt es dazu nicht zu sagen.
vielleicht das noch : „… und ganz unten konnte man das leise Summen der Bartaufwickelmaschine hören.“
