Impressum / Datenschutz Regeln Cookies
TFF FORUM TFF E.V. SUPERCHARGE-ME
TFF Forum

TeslaFi und Co.: Ein empfindliches Sicherheitsrisiko?

Eine Passwortänderung sollte alle bestehenden Token ungültig machen. Meines Wissens gibt es keine Übersicht über erstellte Token, allerdings kann man spezifische Token auch revoken.

Hätte auch der Finder obiger „Lücke“ parallel machen können, statt mittels der API mit fremden Fahrzeugen herumzuspielen.

1 „Gefällt mir“

Gute Frage. Kennwort vom Account ändern? Ist aber nur eine Vermutung, basierend auf dem letzten Satz hier: Tesla API Token

Was jedenfalls helfen sollte ist: Account löschen.
PS: Da wäre es natürlich hilfreich, wenn man für TeslaFi und Co zuerst einen eigenen Account angelegt und den zusätzlich berechtigt hätte

Nicht unbedingt.

Vermutlich merken sich TeslaFi nicht nur die normalen Token, sondern auch die refresh token. Der normale Token hält 45 Tage und wird dann ungültig (oder eben früher, wenn er widerrufen wird), aber der Refresh token hält „ein Leben lang“. Und mit dem erhält man bei Bedarf einen neuen token.

Das er wirklich machen hätte können (er hat es selbst mit rickrolling vorgeschlagen): Ein youtube Video erstellen „ihr Schlüssel wurde gestohlen. Ändern sie ihr Kennwort im Tesla account“ und das in den Autos abspielen.

TeslaMate und Co geben bereits Guidance, wie man das lokale Hosting über zusätzliche Auth absichern kann. Für mich ist das Ganze auch eher ein Publicity Stunt bei dem jemand viel Aufmerksamkeit für wenig Inhalt erzeugen will.

Ich habe selbst jahrelang APIs designt und finde es nicht besonders spektakulär, wenn jemand einen Schlüsselbund findet und das passende Schloss kennt.

Nutze deswegen auch nicht Teslascope oder TeslaFi und reiche mein Token auch nicht an ABRP weiter. In meinem Netz gibt es genug Vorkehrungen um zu verhindern, dass da wer rumspielt.

2 „Gefällt mir“

und auf dem Schlüsselbund dein Autoschlüssel ist plus ein Zettel: „Das Auto ist ein Tesla und hier geparkt“?

2 „Gefällt mir“

Ungefähr so :joy:

Ich hab jetzt auch mal gegoogelt:

Es reicht bereits eine Passwortänderung auf das selbe Passwort um alle Tokens zu entfernen. Ein neues Passwort tut es natürlich auch.

Genau DAS ist der einzige Weg. Ich mache das auch: Meinen Token hat mein Server, sonst niemand. Und der ist aus dem Internet nicht erreichbar.

In Zeiten von Cloudflare Argo, Tailscale, WireGuard, und anderen Alternativen ist das auch so bequem, dass alles andere einfach nur eine Trotzreaktion ist :wink:

2 „Gefällt mir“

Ich bin mir immer noch nicht sicher, ob nicht eines meiner Geräte (Router? Switch? Dreambox? Hue Gateway? Rasberrymatic? mir fallen nicht mal alle ein) doch log4j 2 verwendet, ohne dass ich es weiß. :cold_face:

1 „Gefällt mir“

VLAN für IoT Geräte um den Schaden wenigstens zu begrenzen :wink:

meine Tokens sind NUR auf meinen Geräten gespeichert - und NIX in der Cloud. Dort liegen btw. auch keine Passwörter von mir, sondern lokal, in meinem KeePass-Passwortsafe, der seinerseits passwortgeschützt ist.

Okay, das wäre mir zu umständlich.
Ich hab mir selber einen Vaultwarden gehostet um damit den Passwortmanager auf allen Geräten zu haben. Geht auch problemlos aus dem Heimnetz raus, die Geräte legen einen offline Speicher an und synchronisieren dann nur zuhause.

  • OwnCloud auf nem Pi laufen lassen
  • .key-Datei im Cloud-Speicher ablegen
  • Zugang aus dem Internet nur via VPN
  • VPN-Client aufs Handy, Login via hinterlegtem, gerätespezifischen Zertifikat
  • KeyPass auf dem Smartphone bzw. anderem Device installiert und automatisch die synchronisierte .key-Datei öffnen

ist ne einmalige Einrichtung und danach bist du erstmal sicher. Auch vor irgendwelchen windigen Firmen, die dann den Softwareanbieter, Cloud-Anbieter oder sonstwen zu übernehmen meinen.

Ist dennoch deutlich komplizierter als einfach ne Vaultwarden Instanz laufen zu lassen.

  1. Vaultwarden Server machen
  2. App oder Weboberfläche nutzen, wenn gewollt auch per 2FA Login
  3. Auf allen Geräten auto-fill und co. benutzen

Sollte VPN nicht gehen geht das damit weiterhin offline.

Aber unabhängig davon mal BTT, API Keys für Tesla sind gefährlich und man sollte immer sichergehen in welche Hände man die gibt. TeslaFi finde ich persönlich nur interessant um auf die Schwarmdaten bezüglich Firmware zu schauen, würde ich selber nie nutzen.

Wir sind hier schon etwas OT, aber: Genau so mache ich es auch. Risiko-Minimierung. Aber das Restrisiko bleibt. Woher wissen wir, dass „mein Gerät“ sicher ist? Mein Fernseher wollte ein Update. Woher weiß ich, dass die neue Firmware keinen Trojaner hat? Oder die, mit der ich ihn gekauft habe? Der Router? Das OpenWRT da drauf? Hat das log4j 2? Sicher nicht? Der Switch mit Webinterface? Die hue Lampe? Das USB Ladekabel, dass ich auf ebay gekauft habe? Das ist das Restrisiko, und nein, ich habe keinen IT-Sicherheitsexperten in meinem Keller sitzen, der sich da die richtigen Gedanken macht.

PS: Für die nicht Experten unter den Mitlesern: Für jedes der oben genannten Geräte (inkl. dem Ladekabel) gibt es Vorfälle, wo selbiges für Daten-Diebstähle verwendet wurde.

PPS: Ja wirklich: Es gibt Ladekabel, die ganz normal aussehen, im USB Stecker ist ein Minicomputer verbaut, der das angeschlossene Gerät hackt und gefundene Kennwörter per Internet versendet. Waren auch schon mal auf Flughäfen in der Lounge „vergessen worden“. Du steckst zum Aufladen an → Bingo.

nur, um es zu vervollständigen:

Sicherheit bekommst du, indem du

  1. deine sicherheitsrelevanten Sachen NIEMALS aus der Hand gibst. Und falls doch, gehe immer davon aus, dass dein Gerät ab diesem Zeitpunkt kompromittiert ist (und behandle es entsprechend)
  2. nutze nicht nur EINEN Hersteller, sondern innerhalb einer geschützten Kette immer mindestens zwei unterschiedliche Hersteller. Idealerweise zwei, die in hartem Wettbewerb zueinander stehen und einander nicht ausstehen können. Dann kommt der Angreifer aus den eigenen Reihen zwar vielleicht durch das eine durch, aber nicht durch das andere.

ansonsten sollte man sich immer im Klaren sein, dass man selbst die größte und gefährlichste Sicherheitslücke ist.

Man kann SoC und GPS übrigens seit einer Weile auch sicher über die Teslalogger Server an die ABRP API senden.

Da ist dann nur der Datenschutz eventuell noch ein Problem.

Unabhängig davon ob hier tatsächlich eine Lücke gefunden wurde oder ob sich jemand nur selbst inszeniert:
Ich persönlich habe für mich entschieden (nachdem der anfängliche Spieltrieb damals durch war) keinen Loggerdienst zu verwenden, solange Tesla kein Read-Only Login (bzw. Token) anbietet.
Das halte ich letztendlich für die wichtigste Sicherheitsschicht, die uns aber leider fehlt: Einen Token zu generieren, der nur lesen kann. Dann kann im Falle einer Lücke zwar jemand anhand der GPS Daten sehen, in welchem Restaurant ich grad sitze und wie mein SoC ist, das wars aber dann auch schon mit den Auswirkungen.

9 „Gefällt mir“

Ende der Geschichte:

Die Lücke war bei TeslaMate. Es war möglich über einen anonymen Login in Kombination mit Grafana die Auth zu umgehen:

Tesla hat im Anschluss dutzende Tokens annuliert.

4 „Gefällt mir“