Impressum / Datenschutz Regeln Cookies
TFF FORUM TFF E.V. SUPERCHARGE-ME
TFF Forum

TeslaFi und Co.: Ein empfindliches Sicherheitsrisiko?

Kontext:

Es scheint ein Sicherheitsproblem bei einem noch unbekannten externen Tesla Data Service zu geben. Durch dieses Problem lässt sich der unerlaubte Zugriff auf fremde Tesla-Fahrzeuge ermöglichen. David Colombo hat dieses Problem gefunden (https://twitter.com/david_colombo_/) und bereite grade ein CVE-Report vor. Auch green ist bereits drauf angesprungen und beteiligt sich am Twitter-Thread.

Viel Spekulation und noch nichts genaues, aber lieber gebe ich euch hier früh Bescheid und eventuell eine falsche Warnung als, dass es zu spät ist.

Hier bereitet sich mir übrigens eine Grundsatzproblem auf, welches ich nochmal zum Überdenken anregen möchte: Einem (profitorientierten) Drittanbieter mit Closed-Source seine Tesla Login Daten zu geben. Und selbst wenn es nur der Tesla API Token ist. Von der Sicherheit sind beide Wege eine absolute Katastrophe. Es verteilt die Daten auf eine weitere Datenbank, welche mit ihren eigenen Sicherheitsproblemen daherkommt. Ich unterstelle solchen Diensten keine böse Absicht. Das Problem sind bösgesinnte Personen oder Gruppierungen, welche in solche Datenbanken eindringen und dort Schaden anrichten können. Es beginnt mit der Lokalisierung eines Fahrzeugs und endet beim schlüssellosen Fahren.

DIe letzte große Schwachstelle, welche solche Szenarien ermöglicht, hatten wir mit log4shell ja gerade erst… :confused:

4 „Gefällt mir“

Es besteht immer ein Risiko, ob closed source oder open source. Muss man halt jeweils immer selber entscheiden, ob sich der Comfort-Gewinn lohnt, gegenüber dem Risiko oder nicht. Klar, Teslalogger ist toll, brauche ich aber nicht wirklich.

2 „Gefällt mir“

Ich empfinde es auch als total unschön die API Token an einen Drittanbieter rauszugeben. Kann die Entscheidung nicht so nachvollziehen, man kann ja doch alles selber hosten (und wenn man zuhause nix hat dann eben auf den Gratis Instanzen von Oracle oder so). Und da kann man sich selber drum kümmern alles gut abzusichern und ist zudem nicht von solchen Angriffen gezielt auf einen Anbieter betroffen. Kaum einer macht sich die Mühe sämtliche Domains durchzuprobieren um zu schauen ob dort Teslamate läuft (was eh vor einer Auth Anfrage liegt) und im heimnetz kommt eh keiner ran.

So würde ich das nicht sagen. Open Source ist mit das sicherste was es gibt. Zudem lässt sich das einfach selbst privat hosten und somit hat da keiner Zugriff, wenn du das nicht einfach offen ins Netz pustest und der Server auffindbar ist.

2 „Gefällt mir“

Mit der Betonung auf Closed-Source wollte ich darauf hinaus, dass der Code nicht von Dritten evaluiert werden kann. Des Weiteren besteht natürlich das Problem, dass gerade bei Diensten ähnlich zu TeslaFi die Daten in einer zentralen Datenbank liegen.

Das steht beispielsweise in der Teslamate Doku so ganz groß in Warnschrift. Und dort wird auch ganz easy gezeigt wie man es korrekt ins Internet stellt und sicher macht. Aber ja, stimmt, der Nutzer muss natürlich beachten das man da doch minimal Arbeit einmalig reininvestieren muss.

Auch diese Self-Hosted Dienste sind noch kein Garant für absolute Sicherheit:

  1. Der Nutzer öffnet seinen Dienst fürs Internet. Gut, da kann dann der Dienst nichts für. Der Nutzer agiert fahrlässig. Jedoch sollte dies unmöglich / davor gewarnt werden.
  2. Einige self-hosted Dienste senden Nutzungsdaten „nach Hause“.

Nur um zwei (hypothetische) Dinge zu nennen.

Edit: Antwort falsch gesetzt

Dürfen Sie nur mit ausdrücklicher Genehmigung. Wenn das natürlich standardmäßig so ist ist das ausschaltbar, aber selbst wenn können die Nutzungsdaten, welche im Falle von großen Open-Source Projekten nachprüflich nur anonym sind, ja nix ausrichten. Ubuntu und Debian fragen auch ob sie statistiken sammeln können, Steam genauso, aber die stören ja nicht.

Ich finde das Auftreten des Herrn auf Twitter etwas bedenklich.

Das hat weniger mit responsible disclosure als mit Selbstdarstellung zu tun, imo.

Green hat es, denke ich, ganz gut analysiert:

Bin gespannt, ob dafür ne CVE vergeben werden wird.

2 „Gefällt mir“

Das hat mich auch sehr gestört. Hat was von Angeben um im Internet stark dazustehen… Wenn das mal nicht zurückfeuert…

Aber selbst wenn es nur ein einfaches Aufspüren von TeslaMate durch einen generell offenen Port, Response oder whatever ist, ist es trotzdem gut davon zu erfahren.

muss man auch nicht.
dafür gibt es Suchmaschinen wie Shodan

Shodan kann keine Domains nach sowas durchsuchen wo die Seite per HTTP-Basic Auth geschützt ist. Der Webserver liefert ohne dem keine Daten.

Wenn natürlich jemand sowas nicht nutzt und das direkt ins Internet stellt ist es ein Nutzerfehler.

1 „Gefällt mir“

ja, aber man wundert sich was man in 5 Minuten so alles findet… komplett ungesichert !

1 „Gefällt mir“

Genau das ist doch das Problem an solchen Systemen. Je einfacher es für die Installation und Nutzung ist, desto mehr Leute - die eigentlich nichts tun sollten - installieren und nutzen solche Systeme, ohne nur die fundamentalsten Kenntnisse von IT/Sicherheit zu haben. Und dann kommt dann ein „Sicherheitsproblem“ raus.

Das Problem existiert aber überall.
Man kann es nicht verhindern außer in der Dokumentation welche für die Installierung genutzt wird darauf hinzuweisen und eine einfach Alternative anzubieten.

Wenn der Tweet wirklich nur darauf abzielt wäre das lächerlich.

ich kann nur immer wieder jenen empfehlen, die doch soo tolle Fans von TeslaFi und Co. sind, ihre Daten (und ihr Geld) aber nicht irgendwelchen Services hinterher werfen wollen, bei denen man nicht weiß, wem sie morgen gehören und was sie genau damit machen (jaja, man kann sie dann juristisch belangen. In der Theorie. Viel Erfolg dabei!), sich ioBroker zu schnappen, dort den Tesla-Adapter zu installieren und die Daten dann selbst auszulesen. Gut, man verliert dann die Statistiken von anderen und deren Softwarestände, aber dafür sind die EIGENEN Daten dann relativ sicher

2 „Gefällt mir“

Schon am rudern…

Bin mal auf das „Writeup“ gespannt. Die Promo hat er ja bekommen. Funktioniert mit Tesla ja auch immer gut.

1 „Gefällt mir“

Ja gut, dass er das Auto nicht kontrollieren kann, war ja irgendwie klar. Ich hab das von Anfang an so verstanden, dass er API Tokens hat. Was somit alle App-Funktionalitäten mit sich bringt.

Wenn Du den Token hast, hast Du den Standort, plus die Info, dass er geparkt und abgesperrt ist, plus die Möglichkeit aufzusperren und wegzufahren.

Der Token ist wie der Schlüssel. Wer ihn hat, hat den Tesla (Pin2Drive mal außen vor).

Aber die Aufregung ist umsonst. Jeder der einem Dritten seine Zugangsdaten oder den Token gibt, gibt damit den Schlüssel her (und weiß das hoffentlich auch). Das ist übrigens auch wie bei jedem Hotel, wo für Dich geparkt wird. Die Frage ist: Kann ich demjenigen vertrauen.

Das Problem ist jetzt nicht, dass der Schlüssel (hier: alles von Tesla bereitgestellte) unsicher ist, und auch nicht, dass der Dritte böse ist (hier z.B. TeslaFi und Co, oder der Hotelangestellte). Das Problem ist, dass beim Dritten eingebrochen werden kann, und die Schlüssel gestohlen werden. Oder das ein unzufriedener Mitarbeiter (von TeslaFi und Co oder vom Hotel) den Schlüssel kopiert und verkauft.

Dein Token / Schlüssel ist also so sicher, wie TeslaFi und Co oder das Hotel aufgestellt sind. Oder wie Du aufgestellt bist, wenn Du deinen Server selbst betreibst.

TeslaFi und Co sind keine Bank.

Wo sieht man eigentlich seine vergebenen Token bzw. wie macht man vergebene Token wieder ungültig? Da müsste es ja von Tesla eine Seite geben.