Sorglose Tesla-Fahrer: Hunderte TeslaMate-Installationen offen im Netz

Wer einen Tesla fährt, kann umfangreich Daten des Fahrzeugs sammeln und auswerten. Das gelingt etwa mit dem Open-Source-Projekt TeslaMate. Ein IT-Forscher hat nun hunderte offenstehende Instanzen im Netz gefunden, die diese Daten aller Öffentlichkeit preisgeben.

Aufgefallen ist der fehlende Zugriffsschutz Seyfullah Kılıç, der in einem Blog-Beitrag darüber berichtet. Das quelloffene Tool TeslaMate steht auf Github zum Herunterladen bereit. Es erlaubt, die Daten des eigenen Fahrzeugs zu sammeln und speichert diese in einer Postgres-Datenbank. Die Daten können mit Grafana visualisiert und analysiert sowie an lokale MQTT-Broker verteilt werden. Das ermöglicht die Aufbereitung, etwa mit Home Assistant.

Zu den Daten, die TeslaMate verwaltet, gehören unter anderem Fahrtendaten mit automatischen Adressnachschlagen, Ladestand und Zustand des Akkus. Das Projekt listet auf Github noch diverse Standard-Dashboards zu weiteren Daten auf, die damit einsehbar sind.

Selbsthosting ohne Zugriffsschutz

Das Problem, auf das Kılıç gestoßen ist, liegt im Selbsthosting von TeslaMate. Die Software enthält standardmäßig keinen Zugriffsschutz und erlaubt allen Zugriff auf die Daten. Dadurch können Unbefugte etwa den Standort einsehen – daraus lässt sich gegebenenfalls ableiten, ob ein Tesla zuhause oder im Büro ist. Etwa für Angreifer wie Einbrecher jedoch sehr nützlich.

TeslaMate stellt standardmäßig auf Port 4000 ein Web-Interface bereit und auf Port 3000 ein Grafana-Dashboard. Das verlockt Nutzerinnen und Nutzer offenbar dazu, Instanzen auf Cloud-Servern zu hosten oder heimische Installationen ins Internet durchzureichen. Mit einer Suche nach offenen TCP-Ports 4000 und der Abfrage des Standard-HTTP-Titel von TeslaMate über das Internet stieß der IT-Sicherheitsforscher auf hunderte offene Instanzen, die diese eher persönlichen Informationen aller Welt preisgeben.

Darauf basierend hat er einen Crawler programmiert, der die genauen GPS-Daten der überwachten Teslas, ihre Modell-Namen, Software-Version und Updateverlauf sowie Zeitstempel von Reisen und Ladesitzungen auswertet. Durch das Auswerten der täglichen Gewohnheiten auf einer Karte konnte er etwa Heimatadressen und oft besuchte Orte erkennen. Unter der URL teslamap.io veröffentlicht Kılıç seine Auswertungen auf einer Karte. Auch in Deutschland, Österreich und Schweiz sind demnach mehrere Fahrzeuge unter TeslaMate-Beobachtung.

Das Problem ist der fehlende Zugriffsschutz. Der Dienst sollte nicht öffentlich im Netz erreichbar sein, sondern wenigstens in LAN stehen, auf das nur Zugriff über VPN gelingt. Der IT-Forscher schlägt zudem vor, einen Reverse Proxy mit nginx aufzusetzen, der zumindest Basic Auth – also eine Log-in-Abfrage von Nutzername und Passwort – nachrüstet.

(dmk)