Ein neuer Fall des Auto-Hackings: Nachdem die Systeme des Toyota Prius und des Ford Escape erfolgreich von den Sicherheitsforschern Charlie Miller und Chris Valasek gehackt wurden, haben sich die beiden nun einen Jeep Cherokee vorgenommen.
Hackers remotely kill a Jeep on the highway — with me in it http://t.co/4eQiTtelA4 pic.twitter.com/9bxDTOY5Y0
— WIRED (@WIRED) July 21, 2015
Und dieser Hack ist sogar noch verblüffender, da die Forscher eine Möglichkeit gefunden haben, das Auto aus der Ferne zu übernehmen. Ihr freiwilliges Opfer fuhr mit 110 km/h am Rand von St. Louis, als der Exploit zu arbeiten anfing.
„Als die zwei Hacker mit der Klimaanlage, dem Radio und den Scheibenwischern herumspielten, habe ich mir mental zu meinem Mut unter diesem Stress gratuliert. Dann haben sie das Getriebe blockiert.“
Der Artikel von Wired beschreibt, wie der Fahrer auf das seltsame Verhalten seines super-smarten vernetzten Autos reagierte. Der Journalist Andy Greenberg, der den Wagen fuhr, erklärt, dass die beiden Forscher die Kontrolle über Bremsen und Beschleunigung, sowie über weniger wichtige Komponenten wie Radio, Hupe und Scheibenwischer übernommen haben. Dazu mussten Miller und Valasek das Entertainment-System Uconnect über ein Handynetzwerk knacken.
Is It Possible to Hack My Car? Find out over at @Kaspersky Daily. http://t.co/UOAMP2hb3K
— Kaspersky (@kaspersky) July 19, 2013
Glücklicherweise implementieren bereits sowohl der Hersteller des Auto-Betriebssystems als auch der Autohersteller wichtige Sicherheitsmaßnahmen – und das sollten sie auch!
Chris Valasek dazu: „Als ich bemerkte, dass wir den Hack überall über das Internet durchführen konnten, bin ich ausgerastet, hatte Angst. Da geht es wirklich um ein Auto irgendwo auf der Straße. Auto-Hacking ist jetzt eine Realität.“
Leider sind all die wichtigen Maßnahmen unzureichend. Software-Giganten wie Microsoft und Apple haben Jahre gebraucht, um effiziente Möglichkeiten zu finden, Sicherheitslücken in ihren Produkten zu schließen. Die Autobranche hat diese Zeit nicht. Zudem ist es nicht das erste Mal, dass ein Auto gehackt wurde, und es gibt noch genug Sicherheitsprobleme, die anscheinend niemand lösen will.
Chris Valasek & Dr. Charlie Miller, have discovered how easy it can be for a cybercriminal to hack a car: http://t.co/37d5duTKXT
— Kaspersky (@kaspersky) August 20, 2013
Es könnte noch weitere Fahrzeuge mit der gleichen Sicherheitslücke geben. Miller und Valasek haben keine Autos von Ford, General Motors oder anderen Herstellern getestet. Zudem erklärt Miller, dass „ein erfahrener Hacker eine Gruppe von Uconnect-Einheiten übernehmen könnte, um – genau wie mit infizierten Computern – weitere Scans durchzuführen und sich über das Sprint-Netzwerk von einem Armaturenbrett zum nächsten auszubreiten. Das Ergebnis wäre ein drahtlos kontrolliertes Auto-Botnetz aus Hunderten oder Tausenden Fahrzeugen.“ Eine ideale Basis für terroristische Sabotage oder eine staatlich organisierte Cyber-Attacke.
JUST IN: Jeep Cherokees, Chrysler 200s, Dodge Rams, other cars can be hacked over the Internet http://t.co/duTdxfbXiV pic.twitter.com/CRhqDvfi5Y
— CNN Business (@CNNBusiness) July 21, 2015
„Wir glauben, dass die Hersteller die smarte Architektur für ihre Autos auf der Basis von zwei Grundprinzipien entwickeln sollten, um solche Vorfälle zu verhindern: Isolation und kontrollierte Kommunikation“, so Sergey Lozhkin, Senior Security Researcher bei Kaspersky Lab.
„Durch die Isolation können sich zwei separate Systeme nicht gegenseitig beeinflussen. So sollte das Entertainment-System nicht das Kontrollsystem beeinflussen können, wie es beim Jeep Cherokee der Fall ist. Und kontrollierte Kommunikation bedeutet, dass Verschlüsselung und die Authentifizierung für die Übertragung und Annahme von Informationen von und zum Auto eingerichtet werden müssen. Bei dem Experiment mit dem Jeep waren die Authentifizierungsalgorithmen schwach und anfällig oder die Verschlüsselung war nicht korrekt implementiert.“
Schock am Lenkrad: Ihr #Jeep kann während der Fahrt gehackt werden #Sicherheit #Autos #Hacker
So lange die Sicherheitsprobleme nicht auf Branchenebene gelöst werden, sollten wir darüber nachdenken, mehr mit dem Fahrrad zu fahren… oder mit alten Autos. Die können zumindest nicht gehackt werden. Die beiden Sicherheitsforscher werden die detaillierten Ergebnisse des Hacks auf der Black-Hat-Konferenz im August vorstellen und wir werden weiter darüber berichten.