Hi CKO !
Ich hatte mich seinerzeit bei Erscheinen von remote S ähnlich geäußert.
Deine Bedenken sind vollumfänglich zu berücksichtigen. Alle Deine Gedanken sollte man sich tatsächlich machen und persönlich eine Abwägung finden.
Bsp.: Visible Tesla
Der Entwickler hat den QuellCode offengelegt. Ich habe mir das damals selber angesehen und konnte feststellen, daß es keine „eigenen“ server gibt. Er nimmt das passwd entgegen und übermittelt es verschlüsselt an die Tesla-API. Der Code „handled“ „lediglich“ Deine sensiblen Informationen.
Diese Möglichkeit hat man aber nicht überall. Insofern bleiben Deine Bedenken berechtigt.
Eigentlich beginnen die Überlegungen aber weitaus früher. Du hast bereits Deine sensiblen Daten preisgegeben. MyTesla bedienst Du durch einen PC / Mac. Also ist Windows oder z.B. OS X mit im Spiel !
Wenn die Linux Leute jetzt jubeln, dann wäre das verfrüht - da sieht es nicht besser aus .
Tesla app per smartphone ? iOS oder Android. Check mal die letzten Android exploits …
Viel gefährlicher sind doch Angriffe auf das OS Deines PCs / Macs oder smartphones…(Stichwort keylogger) Du bist paranoid ? Kann ich toppen…
Nimm Dir mal die letzte Ct’ und check mal den Artikel über das letze security leak im screenOS auf den Juniper firewalls (Netscreen series).
Bottom Line (ohne scheiss jetzt !!!):
Nicht autorisierter QuellCode in der FW der Firewalls zur Umgehung der Verschlüsselung oder aber eine backdoor zum login - hier: Mit der Zeichenkette „<<< %s(un=’%s’) = %u“ kann man den ssh Dienst auf den Maschinen umgehen und bekommt Zugang zur Firewall !!!
Die NSA hatte seinerzeit den Zahlengenerator (Dual_EC_DBRG) ACHTUNG >>> im Standardisierungsprozess <<< bereits kompromittieren können und zwar in der Weise, daß sie damit die Verschlüsselung der Daten aushebeln konnten - also sie haben umgangssprachlich das Schloß ausgetauscht. Juniper hatte das einige Zeit später selbst bemerkt und das „Schloss“ ebenfalls wieder ausgetauscht. Die jetzt entdeckten Modifikationen erlauben aber den Schluss, daß „jemand“ bereits wieder das Schloss wechselte. Über Cisco gibt es ähnliche Berichte…Die Geräte kommen bei den Endkunden mit original FW bereits gehackt an !!! (zuzüglich MWSt.)
Es ist absolut richtig, sich Deine Gedanken zu machen und man sollte auch nicht aufhören, an dieser Stelle paranoid zu sein. Die Wahrheit ist aber so abgrundtief häßlich, daß Dein Problem in der Sekunde beginnt, wenn Du Dich an einen PC oder Mac setzt oder ein smartphone in die Hand nimmst. Das will immer keiner hören und gerade in DE haben wir ja nur Freunde - gerade bei der NSA.
OK - benutze nur die Tesla app. Dann drehe ich einen DNS hack. Dein smartphone fragt die Adresse des Tesla-Servers am DNS-Server an, den ich gerade übernommen habe oder als man-in-the-middle-attack geschickt positioniert habe. Du bekommst die Adresse „meines“ Tesla Servers und ich fange Deinen Traffic ab. Danach habe ich ein wenig Zeit, mich darum zu kümmern, Deinen Account zu hacken…
Du hast nur kurz gesehen, daß Du gerade nicht an den Wagen herangekommen bist - mehr war es nicht…
Glaub’ mir - wer Dein myTesla passwd haben möchte, der muß dafür keine 3rd party app schreiben, wenn er es wirklich will.
Man kann die Thematik für sich eingrenzen. Einen Schutz gibt es aber leider gar nicht. Fahrlässigkeit kann man aber sicher umgehen.
Der wahre Schutz besteht aber nach meiner persönlichen Einschätzung nur darin, zu einem Zettel mit Stift zurückzukehren, denn alles andere ist abhörbar. Back to analog !
Mach’ Dir trotzdem Deine Gedanken, denn das ist richtig und auch gesund. Bei Deinen Erkenntnissen mußt Du dann ganz persönlich für Dich einschätzen, wie Du Dich verhältst.
Das Model S ist sicher kein Fahrzeug für Datenschützer in Formvollendung…das ist mal so…as long as Tesla is good and not evil - it’ll work for me…somehow…
In God we trust - all others we track !