Abo
  • Services:
Anzeige
USB-Stick im Brief: Besitzer eines Cherokee Jeep erhielten in den USA ein Sicherheitsupdate per Post.
USB-Stick im Brief: Besitzer eines Cherokee Jeep erhielten in den USA ein Sicherheitsupdate per Post. (Bild: M 93/Wikimedia Commons/CC-BY-SA-3.0 (DE))

Auto-Hacking: Kritik an Sicherheitsupdates per Post

USB-Stick im Brief: Besitzer eines Cherokee Jeep erhielten in den USA ein Sicherheitsupdate per Post.
USB-Stick im Brief: Besitzer eines Cherokee Jeep erhielten in den USA ein Sicherheitsupdate per Post. (Bild: M 93/Wikimedia Commons/CC-BY-SA-3.0 (DE))

Wie stopft man kritische Sicherheitslücken in der Software von Autos? Nach Ansicht eines Sicherheitsexperten ist der von Fiat Chrysler gewählte Weg eine Einladung an Hacker.

Anzeige

Nach dem spektakulären Hack der Autosoftware in Modellen des Herstellers Fiat Chrysler gibt es Kritik am Vorgehen des Autokonzerns. Es sei keine gute Idee gewesen, das Softwareupdate per Post auf einem USB-Stick zu verschicken, sagte der britische Sicherheitsexperte Pete Bassill von der Firma Hedgehog Security der BBC. Da das Aussehen der Briefe nun bekannt sei, seien sie in Zukunft leicht zu imitieren.

Im vergangenen Juli hatten die US-Sicherheitsforscher Charlie Miller und Chris Valasek berichtet, dass sie einen Cherokee Jeep über das Internet während der Fahrt manipulieren konnten. Als Schwachstelle hatte sich dabei das in den USA verwendete GSM-Modul des Unterhaltungssystems UConnect erwiesen. Wie sich dieses hacken lässt, haben Forscher der US-Universität San Diego kürzlich ausführlich erläutert.

Weiteres Modell betroffen

Fiat Chrysler hatte zunächst den Besitzern von 1,4 Millionen betroffenen Fahrzeugen empfohlen, sich ein Sicherheitsupdate herunterzuladen und per USB-Stick in ihren Wagen zu überspielen. Alternativ konnte das Update auch in einer Autowerkstatt installiert werden. Darüber hinaus erhielten die Besitzer offenbar einen Brief von Fiat Chrysler, dem direkt ein USB-Stick mit dem Update beigefügt war. Am vergangenen Freitag forderte der Konzern zudem die Besitzer eines weiteren Modells dazu auf, ihre Software zu aktualisieren. Betroffen waren rund 8.000 Jeep Renegade, die über ein bestimmtes Radio verfügen. Auch deren Besitzer erhalten einen Brief mit einem USB-Stick.

Nach Ansicht von Bassill kommt das einer Einladung an Hacker gleich. "Angreifer können gefälschte USB-Sticks verschicken und damit auf Opferfang gehen. Das ist genauso, wie wenn E-Mail-Nutzer auf einen bösartigen Link klicken oder einen infizierten Anhang öffnen", sagte er der BBC. Es müsse daher ein Verfahren geben, um sicherzustellen, dass der USB-Stick tatsächlich von Fiat Chrysler stamme.

Gefahr durch Reverse Engineering

Bassill befürchtet zudem, dass Hacker den Stick analysieren und mit Hilfe von Reverse Engineering herausfinden könnten, wie die Software aktualisiert wird. "Auf diese Weise könnten sie sogar neue Sicherheitslücken entdecken", sagte Bassill. Allerdings besteht diese Gefahr nicht nur durch das Versenden der USB-Sticks. Denn an das Update kann man auch über das Internet gelangen, wenn man eine entsprechende Fahrzeugnummer eingibt.

Wie ein konkretes Angriffsszenario aussehen könnte, erläutert Bassill nicht. Massenschreiben, wie bei Phishing-Attacken im Internet üblich, dürften wohl einen zu großen Aufwand für Hacker bedeuten. Bei einem gezielten Angriff bestünde aber die Möglichkeit, Sicherheitslücken in die Autosoftware einzuschleusen. In diesem Fall würde es auch nichts nützen, wenn die Software der Hersteller von Haus aus sicher wäre.


eye home zur Startseite
lestard 10. Sep 2015

Man könnte es ja so gestalten, dass der Hersteller einen Serienbrief-artigen Text an die...

Klopfer 07. Sep 2015

Daran habe ich auch schon gedacht, aber wer soll das Geld überweisen?

4nima 07. Sep 2015

Muss dich leider entäuschen ... in meiner Firma ist das absolute Pflicht und wird...

RipClaw 07. Sep 2015

Nachts klaut man auch keine Autos. Man fällt zu sehr auf. Einfach warten bis der...

LinuxNerd 06. Sep 2015

Bevor die Hersteller das Bewustsein dafür entwickeln, so ein richtiger Skandal der in den...



Anzeige

Stellenmarkt
  1. DR. KADE Pharmazeutische Fabrik GmbH, Berlin
  2. T-Systems International GmbH, verschiedene Standorte
  3. Deutsche Bundesbank, Frankfurt am Main
  4. Deutsche Bundesbank, München


Anzeige
Blu-ray-Angebote
  1. 24,99€ (Vorbesteller-Preisgarantie)
  2. 139,99€ (Vorbesteller-Preisgarantie)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Mehr dazu im aktuellen Whitepaper von Bitdefender
  2. Globale SAP-Anwendungsunterstützung durch Outsourcing
  3. Mehr dazu im aktuellen Whitepaper von IBM


  1. Spionage im Wahlkampf

    Russland soll hinter neuem Hack von US-Demokraten stecken

  2. Comodo

    Zertifikatsausstellung mit HTML-Injection ausgetrickst

  3. Autonomes Fahren

    Mercedes stoppt Werbespot wegen überzogener Versprechen

  4. Panne behoben

    Paypal-Lastschrifteinzug funktioniert wieder

  5. Ecix

    Australier übernehmen zweitgrößten deutschen Internetknoten

  6. Die Woche im Video

    Ab in den Urlaub!

  7. Ausfall

    Störung im Netz von Netcologne

  8. Cinema 3D

    Das MIT arbeitet an 3D-Kino ohne Brille

  9. AVM

    Hersteller für volle Routerfreiheit bei Glasfaser und Kabel

  10. Hearthstone

    Blizzard feiert eine Nacht in Karazhan



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Xiaomi Mi Band 2 im Hands on: Fitness-Preisbrecher mit Hack-App
Xiaomi Mi Band 2 im Hands on
Fitness-Preisbrecher mit Hack-App
  1. Mi Notebook Air Xiaomi steigt mit Kampfpreisen ins Notebook-Geschäft ein
  2. Xiaomi Hugo Barra verkündet Premium-Smartphone
  3. Redmi 3S Xiaomis neues Smartphone kostet umgerechnet 95 Euro

Amoklauf in München: De Maizière reanimiert Killerspiel-Debatte
Amoklauf in München
De Maizière reanimiert Killerspiel-Debatte
  1. Killerspiel-Debatte ProSieben Maxx stoppt Übertragungen von Counter-Strike

Schwachstellen aufgedeckt: Der leichtfertige Umgang mit kritischen Infrastrukturen
Schwachstellen aufgedeckt
Der leichtfertige Umgang mit kritischen Infrastrukturen
  1. Keysniffer Millionen kabellose Tastaturen senden Daten im Klartext
  2. Tor Hidden Services Über 100 spionierende Tor-Nodes
  3. Pilotprojekt EU will Open Source sicherer machen

  1. Re: Sind die Nutzer alle zu Blöd den "Downloads...

    KrasnodarLevita... | 02:29

  2. Re: Zu Teuer (wie immer)

    HagbardCeline | 01:48

  3. Re: Sind 31000 ¤ jetzt viel oder wenig?

    DonDöner | 01:35

  4. Re: Das beste an Win7 gibts nicht mehr in Win10

    slead | 01:22

  5. Re: Der einzige Grund für einen Telekom Vertrag

    quineloe | 01:13


  1. 14:22

  2. 13:36

  3. 13:24

  4. 13:13

  5. 12:38

  6. 09:01

  7. 18:21

  8. 18:05


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel