Impressum / Datenschutz Forumsregeln
TFF FORUM TFF E.V. SUPERCHARGE-ME
TFF Forum

Sind Apps von Drittanbietern ein Sicherheitsrisiko?

Das Passwort dafür haben sie durch einen Hack Deines Windows PCs, Deines Routers, Deines switches oder Deines Macs erhalten. Das ist wesentlich einfacher, als irgendwie 3rd. Party apps anzugreifen, die dieselbe Technik benutzen, wie die Tesla-App.

Bei den aktuell bekannten Diebstählen war wohl sehr wahrscheinlich die app nicht im Spiel. Wo bewahrst Du denn Deinen FOB zu Hause auf ? Abgeschirmt in einer Dose ? Die Relais Attacke ist aktuell ein weitaus höheres Risiko. Die Benutzung eines Windows-PCs zum login auf myTesla ebenfalls. Hacker konzentrieren sich auf Windows wg. der Verbreitung am meisten…

Alan Wong ist kein unbekannter und fährt selber Tesla. Die API für den Wagen hat Tesla nicht offengelegt, sie ist aber nicht wirklich ein Geheimnis. Wenn ich es darauf abgesehen haben, Dein myTesla passwd zu bekommen, würde ich mich nicht auf iOS Geräte konzentrieren - da gibt es einfachere Wege.

Inwieweit man sagen kann, dass die Benutzung von 3rd. party apps dazu führt, dass bei Diebstahl eine Versicherung den Leistungseintritt verweigert, dass müßte mal geklärt werden. Hierfür wäre es unabdingbar, zu beweisen, dass das Fahrzeug mittels app gestohlen wurde und die Benutzung einer nicht Tesla app dafür ursächlich war. Da wird es dann aber schon ein wenig schwierig mit der Beweisführung durch die Versicherung.

Also das Thema bleibt extrem vielschichtig…

Der Teil, bei dem die Benutzung der 3rd. party app unter iOS dann zu einem Diebstahl führt, hat für mich eine ehr geringe Relevanz. Die hier grundsätzlich geäußerten Bedenken - z.B. auch durch Leto oder Volker.Berlin teile ich aber. Ich schätze deren Auswirkung nur als sehr gering ein. Es bleibt für jeden eine Frage der persönlichen Abwägung. An Deiner Stelle würde ich mich zunächst um den FOB kümmern, wenn die Angriffsparameter auf Dich ggf. zutreffen.

:wink:

Meine Risikoeinschätzung ist etwas anders. Klar gibt es viele die sich auf Schwachstellen von Windows konzentrieren, aber doch nur weil es so verbreitet ist. Wenn ich aber z.B. auf Autodiebstal und insbesondere Tesla aus bin, hätte ich bei einem Windows Angriff erheblichen Beifang, da ist es schon logisch sich auf eine entsprechende App zu konzentieren. Diese im App-Store einzustellen ist ja keine große Sache und dann mal laufen lassen und erst mal Abgreifen. Umgekehrt glaube ich auch nicht das ein normaler Trojaner mit den Tesla Zugangsdaten was anfagen kann, die Jungs konzentrieren sich wohl eher / einfacher auf Banking, PayPal, Amazon, eBay, Google etc. weil da viel mehr Treffer bei sind und man ohne Hardware zu verschieben schnell Geld machen kann.

Mmmm…die Kette muss noch stimmiger werden. Auto-Diebe bauen keine apps und versuchen passwds zu ergattern bei Autos, die dann nur zersägt werden können. Eher muss man sich vorstellen, dass Dritte diese Informationen an Autodiebe verkaufen. Damit hinterlassen sie aber auch Spuren. Autodiebe arbeiten aber lieber in ihren eigenen Organisationsformen und verlassen sich ungern auf Dritte, die sie ja auch im Grundsatz „verraten“ können. Weiterhin ist es auch immer problematisch, sich auf Angebote zu verlassen, die nicht unbedingt immer zur Verfügung stehen müssen. Ein FOB ist immer da - das Auto auch - die app und das backend können auch mal nicht erreichbar sein, genauso wie eine entspr. Netzwerkinfrastruktur.

Ich will damit sagen, dass ich als VW T5 Besitzer aktuell weitaus andere Sorgen hätte. Langfristig wird es eine Gesellschaftliche Auseinandersetzung mit dem Thema connected car, insurance und „keys“ geben und auch die Rechtsprechung wird nachziehen. Das wird aber noch gefühlte 10 Jahre dauern. Einen Tesla kann man jetzt schon klauen - wohl auch ohne app - das war aber genau so auch zu erwarten, wie tödliche Unfälle in diesen Fahrzeugen - mit oder ohne AP.

Technisch stimme ich Dir natürlich zu. Allerdings darf, nein, muss ich als Kunde auch ein bisschen Vertrauen in den Hersteller haben, selbst wenn dieses einer technischen Grundlage entbehrt. Wenn Tesla sagt, ich soll die Tesla App nutzen, dann tue ich das, ohne mir einen Kopf zu machen. Natürlich verwende ich ein sehr sicheres Passwort, welches ich gelegentlich wechsele, nicht für andere Services verwende, nicht im Klartext speichere, etc. Aber die Abwägung der von Dir genannten Risiken überlasse ich getrost Tesla – jedenfalls, so lange ich mich an deren Empfehlungen halte.

Ich glaube natürlich auch nicht, dass Tesla Verantwortung übernimmt, wenn auf einem der von Dir genannten Wege der Zugang zu meinem Fahrzeug kompromittiert wird, aber zumindest von der Versicherung muss ich mir in dem Fall nichts vorwerfen lassen. Das macht zwar keinen technischen, aber einen finanziellen Unterschied! :wink:

kurz und knackig zur überschrift: ja, sind sie, mM nach. (auch originale apps sind mit vorsicht zu genießen) :exclamation:

Ich bleibe bei Past: Neben dem Repeater für den FOB als absolut einfachster Weg ist der zweiteinfachste das Mitschneiden des Tesla-Passwords auf dem Windows-PC. Das kann leicht ein Beifang sein und auch wenn bisher Autosiebe da vielleicht nicht eingekauft haben, das kann sich schnell ändern.

Eine Tesla-App erstellen und in den Store stellen, klar geht das. Der Programmierer ist aber bei Appl bekannt, das kann schnell nach hinten losgehen, wenn das auffliegt.

Trotzdem misstraue ich allen Apps, da sind wir uns hier glaube ich einig, deshalb habe ich bisher auch nur genau eine Fremdapp drauf die mein Passwort hat. Hier halte ich den Programmierer für vertrauensvoll, selbst Tesla wollte den schon haben und hat sich daher auch die App sicher genau angeschaut. Und er gibt an, dass das Passwort in der App bleibt und nur direkt an Tesla übertragen wird. Die App ist jedenfalls immernoch viel Schneller im Verbindungsaufbau als Tesla und übersichtlicher nebenbei auch.

Aber keine Garantie, muss jeder für sich entscheiden, aber man sollte nicht nur auf ein Risiko starren sondern schauen, wo man am effektivsten was tun kann.

Mehr Sicherheit erzeugt in Komfortverlust und umgekehrt.
Früher wollten wir keine Rechner am Netzwerk angeschlossen haben. Aber der Komfortverlust war irgendwann zu hoch.
So ist das halt.

Sie werden sicherlich nicht den Code angeguckt haben :wink: Von daher ist das kein Grund ihm zu vertrauen

Über den Schlüssel hatte ich mir auch schon Gedanken gemacht, da jetzt mein erstes keyless go. Einer im Safe und der aktuelle sehr weit weg von Tür und Fenster. Demnächst zusätzlich in Dose! Denke auch, dass „normale“ Hacker bald das Auto als Ziel entdecken. Ehrlich gesagt, benutze ich die Tesla App zum Strunzen (Herbeirufen), für die Klimanlage und nochmal zum Strunzen mit dem Standort und der Route dorthin … Das geht auch mit der Original App:-) Wäre trotzdem schön, wenn die mehr könnte!

Meine Meinung dazu:



https://tff-forum.de/t/app-remote-s/8536/21

@Mansaylon
Zumindest der Entwickler von Dashboard for Tesla ist offen dafür auch den ‚Login‘ per Token zu ermöglichen.

Damit kann den Wagen immerhin nicht starten.

es ist ein wenig OT (habe noch keine 3. Party App): Zeigt eine dieser App die aktuelle Akku-Temperatur an?

Nein.
Diese Information ist über die API nicht verfügbar.

Über einen CAN-Datalogger kann man sich aber wohl detaillierte Informationen zum Akku holen (z.B. Zellspannungen). Ob die Akkutemperatur auch dabei ist, weiß ich gerade nicht mehr. Zum Logging und der Datenaufbereitung gibt es aber ein recht ausschweifendes Thema im amerikanischen TMC-Forum.

An die Android Nutzer: (Ggf. In de nicht erlaubt)
Es gibt Apps, die (auf Wunsch des Nutzers) Kopieren, Manipulieren, und installierten dann die modernisierte Apk erneut auf eurem Smartphone, mit der Besonderheit, alle Aktivitäten zu loggen und zu beschränken.
Bsp : App Xyz Internet Whitelist

Diese App hat anfangs gar kein Recht auf das Internet.
In der Manipulations App wird dann gezeigt, welche Adresse geblockt wurde. Diese kann dann auf die Whiteliste Gesetz werden.
Sollte irgendwann die App versuchen, auf eine andere Adresse zuzugreifen, wird dies geblockt.

Gesendet von meinem E6853 mit Tapatalk

Leider bringt das genau nichts im Falle der Datenloggenden Apps in die Cloud des Anbieters, da ist ohnehin eine Datenverbindung dorthin nötig. In der lässt sich alles verstecken. Apps kann man über den Datenverkehr einschränken.

Die App muss rein local funktionieren>>Nur die selben Adressen auf der White List, wie sie bei der TESLA App (original) nötig sind.

Wenn die App unbedingt Verbindung zu Server X braucht, wird sie wieder entfernt.

Das eine 2. App die Daten sendet wird verhindert durch blocken des Read /Write Zugriffs auf gewisse Speicher.

Gesendet von meinem E6853 mit Tapatalk

Im Zeitalter von Smartphone / Fishing Mails / Trojaner / BackDoors etc. werden wir wohl alle keine 100% Sicherheit für unsere Daten erleben. (Leider!)
Man braucht sich an sich nur mal ansehen was alleine durch Tracking von ID’s möglich ist. (Das aber nur Nebenbei).

Was das Thema 3rd Party App’s betrifft teile ich jedwedes Sicherheitsrisiko.

Ich für meinen Teil habe mir daher eine Website selbst erstellt die all die Funktionen der App ermöglicht.
(Und noch einen Schwung Daten mehr zeigt :wink:))

Das ganze läuft im Browser… daher Plattform-unabhängig und Design-gleich am PC/Mac/Iphone/Android/WindowsPhone.
Da ich diverse Plattformen im täglichen Gebrauch habe hat mich dieses Apps Switching eh schon genervt.
Ich brauche keine App zu installieren und mein Passwort verlässt den Browser NICHT auf irgendwelche fremden Seiten.

Sollte jemand von euch daran Interesse haben… das ganze ist Quelloffen gestaltet.
Ich werde auch sicherlich niemals jedwede Lizenz auf den Code ausstellen (feel free to copy it).

Wer einen eigenen Apache-Server hat (ubuntu) der kann das ganze sogar auf seinen eigenen Server kopieren und sich damit von den Apps (und mir) autark machen.

Das soll jetzt aber bitte nicht als Werbung verstanden werden.
Ich will und werde damit niemals Geld verdienen… sondern mach das lediglich zu meinem privaten Spaß!

Falls daran Interesse besteht, bitte ich euch einen Thread im Owners aufzumachen, dann gebe ich hierzu gerne mehr Info.

Bitteschön! :arrow_right: https://tff-forum.de/t/tesla-web-app-von-grizzzly/14614/1

Wenn in die Cloud eines Drittanbieters geloggt werden soll, dann macht es wenig Sinn das über eine App laufen zu lassen - die entsprechenden Angebote fragen dann direkt vom Server des Drittanbieters aus ab.

Ich habe mich dazu ja oben schon klar positioniert:

Wer trotzdem sein Passwort in Apps von Drittanbietern eingeben möchte, sollte jedenfalls auf der Tesla-Website die Zwei-Faktor-Authentisierung (oft „2FA“, bei Tesla „MFA“ genannt) aktivieren. Damit lässt sich der mögliche Schaden, der bei „Abhandenkommen“ des Passworts eintreten könnte, auf die App begrenzen.