oh Wunder

oh Wunder wenn man durch Phishing sämtliche Logindaten inkl. Code für die Zwei-Faktor-Authentifizierung abziehen kann, kann man Schaden anrichten. Herzlichen Glückwunsch zu der Erkenntnis!

Simon-Sez schrieb:
--------------------------------------------------------------------------------
> oh Wunder wenn man durch Phishing sämtliche Logindaten inkl. Code für die
> Zwei-Faktor-Authentifizierung abziehen kann, kann man Schaden anrichten.
> Herzlichen Glückwunsch zu der Erkenntnis!


Ich hoffe mal das die Tesla-Seite https will, damit sollte eine gefälschte Seite zumindest eine Zertifikats-Warnung zeigen. Wer das dann ignoriert ist selber schuld.

MarcusK schrieb:
--------------------------------------------------------------------------------
> Simon-Sez schrieb:
> ---------------------------------------------------------------------------
> -----
> > oh Wunder wenn man durch Phishing sämtliche Logindaten inkl. Code für
> die
> > Zwei-Faktor-Authentifizierung abziehen kann, kann man Schaden anrichten.
> > Herzlichen Glückwunsch zu der Erkenntnis!
>
> Ich hoffe mal das die Tesla-Seite https will, damit sollte eine gefälschte
> Seite zumindest eine Zertifikats-Warnung zeigen. Wer das dann ignoriert ist
> selber schuld.

Will sie.

> Ich hoffe mal das die Tesla-Seite https will, damit sollte eine gefälschte
> Seite zumindest eine Zertifikats-Warnung zeigen. Wer das dann ignoriert ist
> selber schuld.

Tesla-Anmeldeseite steht da, nicht Tesla Seite.
Der gibt seine Daten als Login für das WiFi ein, wie bei vielen HotSpots halt üblich.
https://youtu.be/7IBg5uNB7is?t=78
Da erscheint captive.apple.com - Login to Captive Wi-Fi.

Ob das bei Tesla üblich ist dass man sich mit seinem Account am Wifi anmeldet weiß ich nicht.



2 mal bearbeitet, zuletzt am 08.03.24 10:33 durch floewe.

Sicher auch die Seite, die aus den WLAN-Einstellungen angesurft wird?
Im verlinkten Video kommt keine Warnung auf dem iPhone, siehe ca. 1:13min.

Das ist ja auch captive.apple.com :-)

floewe schrieb:
--------------------------------------------------------------------------------
> > Ich hoffe mal das die Tesla-Seite https will, damit sollte eine
> gefälschte
> > Seite zumindest eine Zertifikats-Warnung zeigen. Wer das dann ignoriert
> ist
> > selber schuld.
>
> Tesla-Anmeldeseite steht da, nicht Tesla Seite.
> Der gibt seine Daten als Login für das WiFi ein, wie bei vielen HotSpots
> halt üblich.
> youtu.be


es seht aber groß und breit da, Login für WiFI wer dort seine Daten eingibt ist auch selber schuld.

Korrekt, wie im Edit erwähnt habe ich keine Ahnung ob das bei Tesla so üblich ist, sich mit dem Account am Wifi anzumelden. Ich fände das seltsam.

floewe schrieb:
--------------------------------------------------------------------------------
> > Ich hoffe mal das die Tesla-Seite https will, damit sollte eine
> gefälschte
> > Seite zumindest eine Zertifikats-Warnung zeigen. Wer das dann ignoriert
> ist
> > selber schuld.
>
> Tesla-Anmeldeseite steht da, nicht Tesla Seite.
> Der gibt seine Daten als Login für das WiFi ein, wie bei vielen HotSpots
> halt üblich.
> youtu.be
> Da erscheint captive.apple.com - Login to Captive Wi-Fi.
>
> Ob das bei Tesla üblich ist dass man sich mit seinem Account am Wifi
> anmeldet weiß ich nicht.

Das letzte mal als ich im Service Center war gabs dort Grais-Wlan ohne irgendwelche Anmeldung.

Und wie im Artikel beschrieben - diese Anmeldedaten sind der Schlüssel zum Auto, das ist in etwa das selbe wie wenn deine Bank beim Gratis-Wlan deine Zugangsdaten zum Konto haben will. Inkl. Tan!

Simon-Sez schrieb:
--------------------------------------------------------------------------------
> oh Wunder wenn man durch Phishing sämtliche Logindaten inkl. Code für die
> Zwei-Faktor-Authentifizierung abziehen kann, kann man Schaden anrichten.
> Herzlichen Glückwunsch zu der Erkenntnis!

Man kann aber Schaden anrichten der maximal einfach verhinderbar wäre - da wunder ich mich wieso das nicht gemacht wird und stattdessen mit "works as designed" argumentiert wird.

bazoom schrieb:
--------------------------------------------------------------------------------
> Simon-Sez schrieb:
> ---------------------------------------------------------------------------
> -----
> > oh Wunder wenn man durch Phishing sämtliche Logindaten inkl. Code für
> die
> > Zwei-Faktor-Authentifizierung abziehen kann, kann man Schaden anrichten.
> > Herzlichen Glückwunsch zu der Erkenntnis!
>
> Man kann aber Schaden anrichten der maximal einfach verhinderbar wäre - da
> wunder ich mich wieso das nicht gemacht wird und stattdessen mit "works as
> designed" argumentiert wird.

wie würdest du ihn denn einfach verhindern?

Weil man es dem Kunden auch nicht zu schwer machen will. Im Volkswagenkonzern muss ich mit beiden Schlüsseln im Auto sitzen diese direkt hintereinander drücken und auch nur wenn das Wetter schön und die Internetverbindung gut (und die VW Server willig) kann ich mich als Hauptnutzer registrieren. Um das Fahrzeug per remote zu entsperren muss ich sogar in die Werkstatt damit die mich registrieren. Klar wäre es sicherer jedes mal die Karte ans Auto halten zu müssen aber eben auch wesentlich umständlicher und wenn man etwas mitdenkt eben auch sicher genug.

MarcusK schrieb:
--------------------------------------------------------------------------------
> bazoom schrieb:
> ---------------------------------------------------------------------------
> -----
> > Simon-Sez schrieb:
> >
> ---------------------------------------------------------------------------
>
> > -----
> > > oh Wunder wenn man durch Phishing sämtliche Logindaten inkl. Code für
> > die
> > > Zwei-Faktor-Authentifizierung abziehen kann, kann man Schaden
> anrichten.
> > > Herzlichen Glückwunsch zu der Erkenntnis!
> >
> > Man kann aber Schaden anrichten der maximal einfach verhinderbar wäre -
> da
> > wunder ich mich wieso das nicht gemacht wird und stattdessen mit "works
> as
> > designed" argumentiert wird.
>
> wie würdest du ihn denn einfach verhindern?

Steht ja schon im Artikel - indem man die "Schlüssel" Funktion der App nur freischalten kann, wenn man dazu im Auto mit der echten Schlüsselkarte bestätigt.

Aber die Basis dieses "Angriffs" find ich eher dünn. Da könnte man auch Postkarten an Tesla Besitzer verschicken, auf denen bitte die Zugangsdaten vermerkt und zurückgesendet werden sollen, dankeschön, ganz lieb.

Naja findest du es merkwürdig username und Passwort einzugeben wenn du dich in einem wlan anmeldest? weil genau dafür ist die captive portal API da, damit du dich gegenüber dem wlan authentifizierst.

Klar nach den ersten 3 Zeilen habe ich mir auch gedacht eh nichts neues und man sollte wissen das man nicht einfach sein Passwort irgendwo eingibt.

Aber wenn ich bei einem super charger (zb im Ausland stehe, roaming viel kostet) dann werde ich mich in das Tesla Guest Wlan einloggen. Das die natürlich sichergehen wollen das ich ein Tesla Besitzer bin würde mich nicht überraschen, geht ja um Sicherheit.

ITsMe schrieb:
--------------------------------------------------------------------------------
> Aber wenn ich bei einem super charger (zb im Ausland stehe, roaming viel
> kostet) dann werde ich mich in das Tesla Guest Wlan einloggen. Das die
> natürlich sichergehen wollen das ich ein Tesla Besitzer bin würde mich
> nicht überraschen, geht ja um Sicherheit.

Ich date Tesla's sind immer Online, warum sollte man sich dann noch in ein anders WLAN einloggen. Könnte doch da Auto alles übernehmen. Der Nutzer ist dann nur mit seinen Auto verbunden.

Man könnte auch das wlan als Tesla Owner free wifi definieren. Da würde der besitzer noch weniger nachdenken bei einem tesla ladepark.

MarcusK schrieb:
--------------------------------------------------------------------------------
> bazoom schrieb:
> ---------------------------------------------------------------------------
> -----
> > Simon-Sez schrieb:
> >
> ---------------------------------------------------------------------------
>
> > -----
> > > oh Wunder wenn man durch Phishing sämtliche Logindaten inkl. Code für
> > die
> > > Zwei-Faktor-Authentifizierung abziehen kann, kann man Schaden
> anrichten.
> > > Herzlichen Glückwunsch zu der Erkenntnis!
> >
> > Man kann aber Schaden anrichten der maximal einfach verhinderbar wäre -
> da
> > wunder ich mich wieso das nicht gemacht wird und stattdessen mit "works
> as
> > designed" argumentiert wird.
>
> wie würdest du ihn denn einfach verhindern?

Mein Tesla will einen PIN von mir, wenn man losfahren will - das habe ich bereits seit Veröffentlichung des ersten BT-MitM-Hacks ...

UND : mein Tesla will von mir seit jeher für jeden neuen Handyschlüssel tatsächlich die RFID-Karte sehen - ohne gehts nicht ...

Wie soll sich der Tesla für dich im Wlan anmelden?

ITsMe schrieb:
--------------------------------------------------------------------------------
> Wie soll sich der Tesla für dich im Wlan anmelden?

in den sich der Tesla mit einen Zertifikat selber anmeldet und sich als Accesspoint ausgibt.

Ja eh, macht er aber nicht weil es keine free guest wlans von Tesla gibt, aber selbst dann bezweile ich das das irgend ein auto Hersteller machen würdest, du hättest plötzlich am super charger 32 neue wlans ob das besser wäre? Aber wie gesagt gibt keine freien wlans.