Revenge of the Nerds: Tech-Experten beschreiben Schwachstellen in modernen Autos

Inhalt des Artikels

Inhalt des Artikels

Längst vorbei sind die Zeiten, in denen schändliche Leute (oder ein gestrandeter Autofahrer) das Feuer an ihrem Fahrzeug anzünden konnten, indem sie mit einem billigen Schraubendreher die Klemmen an einem Anlassermagneten unter der Motorhaube überquerten. Heutzutage dominiert die Technologie, und viele Elemente moderner Autos können über eine Smartphone-App oder ein anderes weit entferntes Gerät gesteuert werden. Fernstartsysteme, Türschlösser, Kabinenvorwärmer – viele davon und mehr können Befehle annehmen, selbst wenn der Besitzer eine halbe Welt entfernt ist. Alles, was erforderlich ist, ist eine aktive Internet- oder Mobilfunkverbindung.

Wir entschuldigen uns, aber dieses Video konnte nicht geladen werden.

Revenge of the Nerds: Tech-Experten beschreiben Schwachstellen in modernen Autos Zurück zum Video

Wir entschuldigen uns, aber dieses Video konnte nicht geladen werden.

Video abspielen

Aber wie jeder technisch versierte Mensch bestätigen wird, führen diese Funktionen zu neuen Möglichkeiten für untätige Hände, um Chaos anzurichten. Die Öffnung kritischer Fahrzeugsysteme für das Internet bietet Hackern einen Zugang, der in den analogen Tagen bei Fahrzeugen nicht existierte. Ein selbsternannter Sicherheitsforscher namens Sam Curry aus dem Süden der Grenze hat kürzlich einige Ergebnisse detailliert beschrieben, die selbst den erfahrensten Technikfreak nervös machen könnten, wenn es um potenzielle Schwachstellen in ihrer glänzenden neuen Peitsche geht.

Inhalt des Artikels

Curry beginnt seinen Bericht mit einer amüsanten, aber leicht erschreckenden Anekdote, in der er und einige Kumpels eine mobile App benutzten, um Zugriff auf die Grundfunktionen einiger Elektroroller zu erhalten. Sie kennen die: öffentlich genutzte Zweiräder, die über große amerikanische Städte verstreut sind und dazu bestimmt sind, aus einer Laune heraus den sogenannten „letzten Kilometer“ zu transportieren. Aktivieren Sie das Ding über eine App, steigen Sie ein, werfen Sie es aus und melden Sie sich ab, wenn Sie Ihr Ziel erreicht haben.

Curry & Co schafften es, die App schnell zu verwenden, um die Lichter aufzuschalten und die Hupen an mehreren Rollern für etwa 15 Minuten zu betätigen. Dieser harmlose Streich verletzte niemanden (außer Menschen, die versuchten zu schlafen), deckte jedoch eine erhebliche Sicherheitslücke in den Systemen des Rollers auf. Die Technikfreunde alarmierten die Scooter-Firma mit einem Bericht über das, was sie getan hatten, und einer möglichen Lösung. Aber es dauerte nicht lange, bis sie die Punkte verbanden und herausfanden, dass die gleiche Schwachstelle in Autos existiert.

Inhalt des Artikels

„Wir haben eine Weile nachgedacht und dann festgestellt, dass fast jedes in den letzten 5 Jahren hergestellte Automobil nahezu identische Funktionen hatte“, schreibt Curry in seinem Blog. „Wenn ein Angreifer Schwachstellen in den API-Endpunkten finden könnte, die von Fahrzeugtelematiksystemen verwendet werden, könnte er hupen, die Lichter einschalten, Fahrzeuge aus der Ferne verfolgen, verriegeln/entriegeln und starten/stoppen, und zwar vollständig aus der Ferne.“

Huch. Das ist verdammt viel Kontrolle und landet definitiv in der Kategorie „Zeug, das nicht in ruchlose Hände geraten sollte“. Aus diesem Grund veröffentlichten Curry & Co ihre Ergebnisse in der Hoffnung, dass die Hersteller aufhorchen und die Mängel zur Kenntnis nehmen und eine Art Lösung entwickeln würden. Schließlich hämmern viele von ihnen ständig über Over-the-Air-Updates. Dies ist eine perfekte Gelegenheit, einen einzusetzen.

Inhalt des Artikels

Die vollständige Liste dessen, was anfällig ist und wie es ausgenutzt werden kann, finden Sie hier. Es geht von Marke zu Marke ins Detail, wobei der Großteil des Technospeaks so weit über den Kopf dieses Autors hinausfliegt, dass er Aeroplan-Punkte verdienen könnte. Dennoch sind uns einige ausgewählte Beobachtungen ins Auge gesprungen. Es wurde festgestellt, dass Kia, Hyundai, Nissan und Honda (plus ihre jeweiligen Luxusabteilungen) den Zugriff auf eine beeindruckende Liste von Befehlen ermöglichen, darunter die Möglichkeit, vollständig aus der Ferne zu verriegeln / zu entriegeln, den Motor zu starten / zu stoppen, präzise zu lokalisieren, Scheinwerfer zu blinken und zu hupen Hupe mit nur einer Fahrgestellnummer. Speziell für Kia konnten die Forscher aus der Ferne auf die 360-Grad-Kamera zugreifen und Live-Bilder aus dem Auto anzeigen. Huch. Porsche-Fahrzeuge könnten davon überzeugt werden, dass sie die Möglichkeit bieten, den Fahrzeugstandort abzurufen, Fahrzeugbefehle zu senden und Kundeninformationen über Schwachstellen abzurufen, die den Fahrzeugtelematikdienst betreffen.

Inhalt des Artikels

Ausgehend von physischen Fahrzeugen stellten die Forscher fest, dass sie sich in einige Unternehmenssysteme einschleichen konnten. Bei BMW und Rolls zum Beispiel die entdeckten unternehmensweiten Kern-SSO-Schwachstellen, die es ihnen ermöglichten, als jeder Mitarbeiter auf jede Mitarbeiteranwendung zuzugreifen und den Zugriff auf interne Händlerportale zu ermöglichen. Auf diese Weise könnten sie eine VIN abfragen, um Verkaufsdokumente abzurufen, oder im Namen eines Mitarbeiters auf jede Anwendung zugreifen, die hinter SSO gesperrt ist, einschließlich Anwendungen, die von Außendienstmitarbeitern und Händlern verwendet werden.

Einige Branchenbeobachter bezeichnen Forscher wie Curry und seine Freunde als „White-Hat“-Hacker, da sie Schwachstellen aufdecken und die Unternehmen darauf aufmerksam machen, anstatt sie auszunutzen und Lösegeld zu erpressen. Wir hoffen, dass einige dieser Sicherheitslöcher gestopft werden, bevor das gesamte Schiff untergeht.