Anzeige
USB-Stick im Brief: Besitzer eines Cherokee Jeep erhielten in den USA ein Sicherheitsupdate per Post.
USB-Stick im Brief: Besitzer eines Cherokee Jeep erhielten in den USA ein Sicherheitsupdate per Post. (Bild: M 93/Wikimedia Commons/CC-BY-SA-3.0 (DE))

Auto-Hacking: Kritik an Sicherheitsupdates per Post

USB-Stick im Brief: Besitzer eines Cherokee Jeep erhielten in den USA ein Sicherheitsupdate per Post.
USB-Stick im Brief: Besitzer eines Cherokee Jeep erhielten in den USA ein Sicherheitsupdate per Post. (Bild: M 93/Wikimedia Commons/CC-BY-SA-3.0 (DE))

Wie stopft man kritische Sicherheitslücken in der Software von Autos? Nach Ansicht eines Sicherheitsexperten ist der von Fiat Chrysler gewählte Weg eine Einladung an Hacker.

Anzeige

Nach dem spektakulären Hack der Autosoftware in Modellen des Herstellers Fiat Chrysler gibt es Kritik am Vorgehen des Autokonzerns. Es sei keine gute Idee gewesen, das Softwareupdate per Post auf einem USB-Stick zu verschicken, sagte der britische Sicherheitsexperte Pete Bassill von der Firma Hedgehog Security der BBC. Da das Aussehen der Briefe nun bekannt sei, seien sie in Zukunft leicht zu imitieren.

Im vergangenen Juli hatten die US-Sicherheitsforscher Charlie Miller und Chris Valasek berichtet, dass sie einen Cherokee Jeep über das Internet während der Fahrt manipulieren konnten. Als Schwachstelle hatte sich dabei das in den USA verwendete GSM-Modul des Unterhaltungssystems UConnect erwiesen. Wie sich dieses hacken lässt, haben Forscher der US-Universität San Diego kürzlich ausführlich erläutert.

Weiteres Modell betroffen

Fiat Chrysler hatte zunächst den Besitzern von 1,4 Millionen betroffenen Fahrzeugen empfohlen, sich ein Sicherheitsupdate herunterzuladen und per USB-Stick in ihren Wagen zu überspielen. Alternativ konnte das Update auch in einer Autowerkstatt installiert werden. Darüber hinaus erhielten die Besitzer offenbar einen Brief von Fiat Chrysler, dem direkt ein USB-Stick mit dem Update beigefügt war. Am vergangenen Freitag forderte der Konzern zudem die Besitzer eines weiteren Modells dazu auf, ihre Software zu aktualisieren. Betroffen waren rund 8.000 Jeep Renegade, die über ein bestimmtes Radio verfügen. Auch deren Besitzer erhalten einen Brief mit einem USB-Stick.

Nach Ansicht von Bassill kommt das einer Einladung an Hacker gleich. "Angreifer können gefälschte USB-Sticks verschicken und damit auf Opferfang gehen. Das ist genauso, wie wenn E-Mail-Nutzer auf einen bösartigen Link klicken oder einen infizierten Anhang öffnen", sagte er der BBC. Es müsse daher ein Verfahren geben, um sicherzustellen, dass der USB-Stick tatsächlich von Fiat Chrysler stamme.

Gefahr durch Reverse Engineering

Bassill befürchtet zudem, dass Hacker den Stick analysieren und mit Hilfe von Reverse Engineering herausfinden könnten, wie die Software aktualisiert wird. "Auf diese Weise könnten sie sogar neue Sicherheitslücken entdecken", sagte Bassill. Allerdings besteht diese Gefahr nicht nur durch das Versenden der USB-Sticks. Denn an das Update kann man auch über das Internet gelangen, wenn man eine entsprechende Fahrzeugnummer eingibt.

Wie ein konkretes Angriffsszenario aussehen könnte, erläutert Bassill nicht. Massenschreiben, wie bei Phishing-Attacken im Internet üblich, dürften wohl einen zu großen Aufwand für Hacker bedeuten. Bei einem gezielten Angriff bestünde aber die Möglichkeit, Sicherheitslücken in die Autosoftware einzuschleusen. In diesem Fall würde es auch nichts nützen, wenn die Software der Hersteller von Haus aus sicher wäre.


eye home zur Startseite
lestard 10. Sep 2015

Man könnte es ja so gestalten, dass der Hersteller einen Serienbrief-artigen Text an die...

Klopfer 07. Sep 2015

Daran habe ich auch schon gedacht, aber wer soll das Geld überweisen?

4nima 07. Sep 2015

Muss dich leider entäuschen ... in meiner Firma ist das absolute Pflicht und wird...

RipClaw 07. Sep 2015

Nachts klaut man auch keine Autos. Man fällt zu sehr auf. Einfach warten bis der...

LinuxNerd 06. Sep 2015

Bevor die Hersteller das Bewustsein dafür entwickeln, so ein richtiger Skandal der in den...

Kommentieren



Anzeige

  1. Einkäufer IT (m/w) Workplace Services
    über HRM CONSULTING GmbH, Nürnberg
  2. Projektmanager (m/w)
    T-Systems International GmbH, Berlin, Bonn, Darmstadt, München, Münster
  3. IT-Scrum Master Payment Solutions (m/w)
    Media-Saturn IT Services GmbH, Ingolstadt
  4. Senior Consultant SAP HCM (m/w)
    über Mentis International Human Resources GmbH, Nordbayern

Detailsuche



Anzeige
Blu-ray-Angebote
  1. TV-Serien Einstieg auf Blu-ray reduziert
    (u. a. Arrow, Hannibal, The Originals, Banshee, The Big Bang Theory, Silicon Valley)
  2. Steelbooks zum Aktionspreis
    (u. a. Game of Thrones Staffeln 1 u. 2 mit Magnetsiegeln für je 21,97€)
  3. 3 Blu-rays für 18 EUR
    (u. a. Rache für Jesse James, Runaway, The Wanderers)

Weitere Angebote


Folgen Sie uns
       


  1. Telekom-Konzernchef

    "Vectoring schafft Wettbewerb"

  2. Model S

    Teslas Autopilot verursacht Auffahrunfall

  3. Security

    Microsoft will Passwort 'Passwort' verbieten

  4. Boston Dynamics

    Google will Roboterfirma an Toyota verkaufen

  5. Oracle-Anwältin nach Niederlage

    "Google hat die GPL getötet"

  6. Selbstvermessung

    Jawbone steigt offenbar aus Fitnesstracker-Geschäft aus

  7. SpaceX

    Falcon 9 Rakete kippelt nach Landung auf Schiff

  8. Die Woche im Video

    Die Schoko-Burger-Woche bei Golem.de - mmhhhh!

  9. Zcryptor

    Neue Ransomware verbreitet sich auch über USB-Sticks

  10. LTE-Nachfolger

    Huawei schließt praktische Tests für Zukunftsmobilfunk ab



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Xiaomi Mi5 im Test: Das fast perfekte Top-Smartphone
Xiaomi Mi5 im Test
Das fast perfekte Top-Smartphone
  1. Konkurrenz zu DJI Xiaomi mit Kampfpreis für Mi-Drohne
  2. YI 4K Xiaomi greift mit 4K-Actionkamera GoPro an

Hyperloop Global Challenge: Jeder will den Rohrpostzug
Hyperloop Global Challenge
Jeder will den Rohrpostzug
  1. Hyperloop HTT will seine Rohrpostzüge aus Marvel-Material bauen
  2. Hyperloop One Der Hyperloop fährt - wenn auch nur kurz
  3. Inductrack Hyperloop schwebt ohne Strom

Doom im Test: Die beste blöde Ballerorgie
Doom im Test
Die beste blöde Ballerorgie
  1. Doom im Technik-Test Im Nightmare-Mode erzittert die Grafikkarte
  2. id Software Doom wird Vulkan unterstützen
  3. Id Software PC-Spieler müssen 45 GByte von Steam laden

  1. Re: Hat nur leider den gegenteiligen Effekt ...

    bombinho | 01:48

  2. Re: Falscher Ansatz

    Dadie | 01:46

  3. Re: Na super

    GaliMali | 01:39

  4. Re: Vectoring verhindert Wettbewerb.

    RipClaw | 01:34

  5. Re: Der Coax Ausbau sorgt für Investitionen bei...

    Lala Satalin... | 01:33


  1. 14:15

  2. 13:47

  3. 13:00

  4. 12:30

  5. 11:51

  6. 11:22

  7. 11:09

  8. 09:01


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel