Sind Apps von Drittanbietern ein Sicherheitsrisiko?

Technische Informationen zum Model S...

Sind Apps von Drittanbietern ein Sicherheitsrisiko?

von cko » 20. Jan 2016, 23:43

Mittlerweile gibt es ja eine Reihe interessanter apps von Drittanbietern,
die attraktive Funktionen anbieten, welche die "original" Tesla App nicht hat.

Wenn ich es richtig verstehe, muss ich diesen Apps aber mein Tesla
Passwort geben, damit sie ihre Funktion erfüllen können.

In dem Moment, in dem ein Unbefugter mein Tesla Passwort hat,
kann er zum Beispiel mein Auto orten, entriegeln und ausräumen.

Ich frage mich also, ob
1) Mein Tesla Passwort auf den Servern dieser Apps sicher ist.
Welche Massnahmen ergreifen sie zum Beispiel gegen Hacker,
die sich ihre Datenbestände beschaffen wollen? Kommt ja in letzter
Zeit öfter vor.
Natürlich kann jeder Anbieter behaupten, dass das Passwort gar
nicht auf seinen Servern gespeichert wird. Allein der Nachweis
dieser Behauptung ist schwer zu führen.
2) Mein Tesla Passwort bei den Anbietern dieser Apps sicher ist.
Auch der Anbieter der App selbst ist ja nicht zwangsläufig seriös.
3) Mein Tesla Passwort von der App niemals im Klartext über
das Internet übertragen wird.

Wie seht Ihr das?
Bin ich paranoid?
Habe ich etwas Offensichtliches übersehen und die 3 Gefahren
existieren überhaupt nicht?
Oder läuft es letztlich darauf hinaus, dass man Apps von Drittanbietern
nicht verwenden sollte und sich auf die "original" Tesla App und
selbst übersetzte (eigene oder open source) software beschränken muss?
Tesla fahren ist wie schweben auf einem Sonnenstrahl.
Benutzeravatar
 
Beiträge: 1606
Registriert: 10. Nov 2015, 16:34
Wohnort: zwischen HH und HB

Re: Sind Apps von Drittanbietern ein Sicherheitsrisiko?

von Volker.Berlin » 20. Jan 2016, 23:51

Ich mache es mir einfach: Ich gebe mein Tesla-Passwort grundsätzlich in keine Apps oder Websites von Drittanbietern ein. Das kann jeder machen, wie er will, aber für mich ist das ein no-go.
Benutzeravatar
Moderator
 
Beiträge: 13185
Registriert: 31. Okt 2012, 19:09
Wohnort: Berlin

Re: Sind Apps von Drittanbietern ein Sicherheitsrisiko?

von CasuaL » 20. Jan 2016, 23:55

Die Möglichkeit ist natürlich gegeben, dass etwas passiert. Ein seriöser Entwickler kann sich das aber nicht leisten und wird entsprechende Vorkehrungen treffen - Allen Wong mit Remote S würde ich zB vertrauen.
 
Beiträge: 854
Registriert: 15. Okt 2014, 08:17
Wohnort: Wien

Re: Sind Apps von Drittanbietern ein Sicherheitsrisiko?

von Volker.Berlin » 20. Jan 2016, 23:58

Siehe dazu auch die Diskussion hier:
:arrow: viewtopic.php?p=198803#p198803
Benutzeravatar
Moderator
 
Beiträge: 13185
Registriert: 31. Okt 2012, 19:09
Wohnort: Berlin

Sind Apps von Drittanbietern ein Sicherheitsrisiko?

von past_petrol » 21. Jan 2016, 00:34

Hi CKO !

Ich hatte mich seinerzeit bei Erscheinen von remote S ähnlich geäußert.

Deine Bedenken sind vollumfänglich zu berücksichtigen. Alle Deine Gedanken sollte man sich tatsächlich machen und persönlich eine Abwägung finden.

Bsp.: Visible Tesla

Der Entwickler hat den QuellCode offengelegt. Ich habe mir das damals selber angesehen und konnte feststellen, daß es keine "eigenen" server gibt. Er nimmt das passwd entgegen und übermittelt es verschlüsselt an die Tesla-API. Der Code "handled" "lediglich" Deine sensiblen Informationen.

Diese Möglichkeit hat man aber nicht überall. Insofern bleiben Deine Bedenken berechtigt.

Eigentlich beginnen die Überlegungen aber weitaus früher. Du hast bereits Deine sensiblen Daten preisgegeben. MyTesla bedienst Du durch einen PC / Mac. Also ist Windows oder z.B. OS X mit im Spiel !
Wenn die Linux Leute jetzt jubeln, dann wäre das verfrüht - da sieht es nicht besser aus :-).

Tesla app per smartphone ? iOS oder Android. Check mal die letzten Android exploits ...

Viel gefährlicher sind doch Angriffe auf das OS Deines PCs / Macs oder smartphones...(Stichwort keylogger) Du bist paranoid ? Kann ich toppen...

Nimm Dir mal die letzte Ct' und check mal den Artikel über das letze security leak im screenOS auf den Juniper firewalls (Netscreen series).

Bottom Line (ohne scheiss jetzt !!!):

Nicht autorisierter QuellCode in der FW der Firewalls zur Umgehung der Verschlüsselung oder aber eine backdoor zum login - hier: Mit der Zeichenkette "<<< %s(un='%s') = %u" kann man den ssh Dienst auf den Maschinen umgehen und bekommt Zugang zur Firewall !!!

Die NSA hatte seinerzeit den Zahlengenerator (Dual_EC_DBRG) ACHTUNG >>> im Standardisierungsprozess <<< bereits kompromittieren können und zwar in der Weise, daß sie damit die Verschlüsselung der Daten aushebeln konnten - also sie haben umgangssprachlich das Schloß ausgetauscht. Juniper hatte das einige Zeit später selbst bemerkt und das "Schloss" ebenfalls wieder ausgetauscht. Die jetzt entdeckten Modifikationen erlauben aber den Schluss, daß "jemand" bereits wieder das Schloss wechselte. Über Cisco gibt es ähnliche Berichte...Die Geräte kommen bei den Endkunden mit original FW bereits gehackt an !!! (zuzüglich MWSt.) ;)

Es ist absolut richtig, sich Deine Gedanken zu machen und man sollte auch nicht aufhören, an dieser Stelle paranoid zu sein. Die Wahrheit ist aber so abgrundtief häßlich, daß Dein Problem in der Sekunde beginnt, wenn Du Dich an einen PC oder Mac setzt oder ein smartphone in die Hand nimmst. Das will immer keiner hören und gerade in DE haben wir ja nur Freunde - gerade bei der NSA.

OK - benutze nur die Tesla app. Dann drehe ich einen DNS hack. Dein smartphone fragt die Adresse des Tesla-Servers am DNS-Server an, den ich gerade übernommen habe oder als man-in-the-middle-attack geschickt positioniert habe. Du bekommst die Adresse "meines" Tesla Servers und ich fange Deinen Traffic ab. Danach habe ich ein wenig Zeit, mich darum zu kümmern, Deinen Account zu hacken...

Du hast nur kurz gesehen, daß Du gerade nicht an den Wagen herangekommen bist - mehr war es nicht...

Glaub' mir - wer Dein myTesla passwd haben möchte, der muß dafür keine 3rd party app schreiben, wenn er es wirklich will.

Man kann die Thematik für sich eingrenzen. Einen Schutz gibt es aber leider gar nicht. Fahrlässigkeit kann man aber sicher umgehen.

Der wahre Schutz besteht aber nach meiner persönlichen Einschätzung nur darin, zu einem Zettel mit Stift zurückzukehren, denn alles andere ist abhörbar. Back to analog !

Mach' Dir trotzdem Deine Gedanken, denn das ist richtig und auch gesund. Bei Deinen Erkenntnissen mußt Du dann ganz persönlich für Dich einschätzen, wie Du Dich verhältst.

Das Model S ist sicher kein Fahrzeug für Datenschützer in Formvollendung...das ist mal so...as long as Tesla is good and not evil - it'll work for me...somehow...

In God we trust - all others we track !

:D
S85D, seit 03/2015
X100D, bestellt 07/2018
ZOE intens Z.E. 40, seit 03/2017
PV 10,494 kWp
KEBA P30-Cluster, Lokales Lastmanagement
digitalStrom
Benutzeravatar
 
Beiträge: 3436
Registriert: 11. Nov 2014, 11:17

Re: Sind Apps von Drittanbietern ein Sicherheitsrisiko?

von cko » 21. Jan 2016, 01:20

@Volker.Berlin - ich halte Deine Einstellung für klug,

@past_petrol - wir sind uns offenbar einig,
dass Apps von Drittanbietern ein Sicherheitsrisiko sind.
Ich bin tatsächlich davon überzeugt, dass open source
software in der Regel mehr Sicherheit bietet und verwende
sie bevorzugt (ich schreibe dies mit chromium unter Linux).
Ich habe die juniper Sache auch verfolgt. Sie hat mich in
dieser Auffassung bestätigt.
Wie immer muss man wohl abwägen zwischen Sicherheit
und Bequemlichkeit.
Eine gute Informationslage ist dafür eine wichtige Basis.
In diesem Sinne ein großes Lob an das erstklassige TFF Forum. 8-)
Tesla fahren ist wie schweben auf einem Sonnenstrahl.
Benutzeravatar
 
Beiträge: 1606
Registriert: 10. Nov 2015, 16:34
Wohnort: zwischen HH und HB

Re: Sind Apps von Drittanbietern ein Sicherheitsrisiko?

von volker » 21. Jan 2016, 10:56

Danke, past_petrol für die Darlegung. Das Fazit "es gibt keine Sicherheit" sollte nun trotzdem niemand als Ausrede nehmen, sich neuen Angriffsvektoren auszusetzen. Jede weitere App ist ein mögliches Einfallstor.

Risiko 1: Prinzipiell kann das Tesla Konto (mytesla) am PC/Tablet oder am Tesla Webserver angegriffen werden, um das Passwort abzugreifen. Die IT-Mannschaft von Tesla sind keine Anfänger, aber sie sichern deinen PC/Tablet nicht. Dieses Risiko halte ich für nicht vermeidbar. Die Auswirkungen kann man nur begrenzen, in dem man im Model S den Fernzugriff per App ausschaltet. Regelmäßiger Passwortwechsel hilft gegen geklaute Tokens.

Risiko 2: Wer die Tesla App benutzt, setzt sich Angriffen gegen sein SmartPhone oder gegen den Tesla App Server aus. Oder er lädt eine kompromittierte Tesla App auf sein SmartPhone, in die böse Leute eine Hintertür eingebaut haben.

Jede weitere App oder Anwendung verlängert die Liste der Risiken: Es kommt weitere Software hinzu, die Amateure schreiben und nicht professionell signieren, verteilen und gegen Sabotage schützen. Server-Komponenten der App laufen auf nicht professionell geschützten Servern im Internet. Dessen soll sich jeder bewusst sein.
Autos und Häuser brauchen keinen Auspuff.
Benutzeravatar
Moderator
 
Beiträge: 9485
Registriert: 26. Apr 2012, 14:06
Wohnort: Ehningen b. Böblingen

Re: Sind Apps von Drittanbietern ein Sicherheitsrisiko?

von hawaii118 » 21. Jan 2016, 22:16

Danke für diese interessante Sicherheitsdiskussion.

Um den Nutzen für mich abwägen zu können: gibt es denn schon Apps, die in das Fahrzeug geladen werden oder sprechen wir hier über alternative Apps, die per Smartphone Funktionen am Fahrzeug aus der Ferne auslösen?
S85D, black, 21" silver, full, tan seats, no rear facing seats
Benutzeravatar
 
Beiträge: 191
Registriert: 16. Mai 2015, 15:16
Wohnort: Düsseldorf/Neuss

Re: Sind Apps von Drittanbietern ein Sicherheitsrisiko?

von volker » 22. Jan 2016, 00:04

Bisher sprechen wir ausschließlich über Apps oder Software auf Smartphones, PCs oder anderer Hardware außerhalb des Autos. Elon Musk hat mal von einer Sandbox für Android-Apps auf dem Touchscreen gesprochen. Das ist aber ein größeres Unterfangen. Wie man sieht, ist Tesla mit anderen Dingen beschäftigt. Die in-car-Apps wie Navi, Energie/Trip, Spotify sind alle von Tesla selbst und laufen "native" auf dem Touchscreen.
Autos und Häuser brauchen keinen Auspuff.
Benutzeravatar
Moderator
 
Beiträge: 9485
Registriert: 26. Apr 2012, 14:06
Wohnort: Ehningen b. Böblingen

Re: Sind Apps von Drittanbietern ein Sicherheitsrisiko?

von past_petrol » 22. Jan 2016, 00:49

volker hat geschrieben:Danke, past_petrol für die Darlegung. Das Fazit "es gibt keine Sicherheit" sollte nun trotzdem niemand als Ausrede nehmen, sich neuen Angriffsvektoren auszusetzen. Jede weitere App ist ein mögliches Einfallstor.


Hallo !

Ich schätze das exakt auch so ein. Letztendlich muß man ja nur an DAS Unterseekabel ran - was ja auch gemacht wird - und den Rest kennen wir. Es ist dennoch so, dass zusätzliche app-Nutzung einfach das Sicherheitsrisiko erhöht.

Das Thema app Signierung und Verteilung ist bei iOS schon ganz gut gelöst und von allen am Markt befindlichen System, sehe ich da Apple vorn, was aber nicht heißt, daß es auch nicht im App-Store bei Apple Probleme gibt. Es handelt sich lediglich um eine gesenkte Wahrscheinlichkeit auf dieser Platform getroffen zu werden.

Das Thema in car apps öffnet in der Tat dann noch mal ein weiteres Kapitel, da man Entwickler in das Fahrzeug lassen würde. Das würde ich mir sehr überlegen. Ich bin aus einer sicherheitstechnischen Überlegung heraus auch der Meinung, daß wir deshalb nie CarPlay z.B. in einem Tesla sehen werden, weil man grundsätzlich einen wesentliche OS-Anteil fremd vergibt. Das würde ich im Falle von Tesla nicht riskieren.

Ein inCarSDK von Tesla halte ich für wahrscheinlicher, aber aktuell geht es um die GigaFactory I und das M3 - da wird man kaum Ressourcen auf das Thema verwenden.

Mir ist neulich folgendes eingefallen: Macht es nicht Sinn, die Deaktivierung des Remote-Zugriffes IM AUTO nur durch Eingabe einer vorher vergebenen PIN oder des myTesla Kontos zu erlauben ?

Ein sich auskennender Dieb, deaktiviert das zuerst und senkt damit die Chancen, sehr schnell gefaßt zu werden. Macht Sinn, oder ?

;)
S85D, seit 03/2015
X100D, bestellt 07/2018
ZOE intens Z.E. 40, seit 03/2017
PV 10,494 kWp
KEBA P30-Cluster, Lokales Lastmanagement
digitalStrom
Benutzeravatar
 
Beiträge: 3436
Registriert: 11. Nov 2014, 11:17

Nächste

Wer ist online?
Mitglieder in diesem Forum: 0 Mitglieder und 3 Gäste