Abo
  • Services:
Anzeige
USB-Stick im Brief: Besitzer eines Cherokee Jeep erhielten in den USA ein Sicherheitsupdate per Post.
USB-Stick im Brief: Besitzer eines Cherokee Jeep erhielten in den USA ein Sicherheitsupdate per Post. (Bild: M 93/Wikimedia Commons/CC-BY-SA-3.0 (DE))

Auto-Hacking: Kritik an Sicherheitsupdates per Post

Wie stopft man kritische Sicherheitslücken in der Software von Autos? Nach Ansicht eines Sicherheitsexperten ist der von Fiat Chrysler gewählte Weg eine Einladung an Hacker.

Anzeige

Nach dem spektakulären Hack der Autosoftware in Modellen des Herstellers Fiat Chrysler gibt es Kritik am Vorgehen des Autokonzerns. Es sei keine gute Idee gewesen, das Softwareupdate per Post auf einem USB-Stick zu verschicken, sagte der britische Sicherheitsexperte Pete Bassill von der Firma Hedgehog Security der BBC. Da das Aussehen der Briefe nun bekannt sei, seien sie in Zukunft leicht zu imitieren.

Im vergangenen Juli hatten die US-Sicherheitsforscher Charlie Miller und Chris Valasek berichtet, dass sie einen Cherokee Jeep über das Internet während der Fahrt manipulieren konnten. Als Schwachstelle hatte sich dabei das in den USA verwendete GSM-Modul des Unterhaltungssystems UConnect erwiesen. Wie sich dieses hacken lässt, haben Forscher der US-Universität San Diego kürzlich ausführlich erläutert.

Weiteres Modell betroffen

Fiat Chrysler hatte zunächst den Besitzern von 1,4 Millionen betroffenen Fahrzeugen empfohlen, sich ein Sicherheitsupdate herunterzuladen und per USB-Stick in ihren Wagen zu überspielen. Alternativ konnte das Update auch in einer Autowerkstatt installiert werden. Darüber hinaus erhielten die Besitzer offenbar einen Brief von Fiat Chrysler, dem direkt ein USB-Stick mit dem Update beigefügt war. Am vergangenen Freitag forderte der Konzern zudem die Besitzer eines weiteren Modells dazu auf, ihre Software zu aktualisieren. Betroffen waren rund 8.000 Jeep Renegade, die über ein bestimmtes Radio verfügen. Auch deren Besitzer erhalten einen Brief mit einem USB-Stick.

Nach Ansicht von Bassill kommt das einer Einladung an Hacker gleich. "Angreifer können gefälschte USB-Sticks verschicken und damit auf Opferfang gehen. Das ist genauso, wie wenn E-Mail-Nutzer auf einen bösartigen Link klicken oder einen infizierten Anhang öffnen", sagte er der BBC. Es müsse daher ein Verfahren geben, um sicherzustellen, dass der USB-Stick tatsächlich von Fiat Chrysler stamme.

Gefahr durch Reverse Engineering

Bassill befürchtet zudem, dass Hacker den Stick analysieren und mit Hilfe von Reverse Engineering herausfinden könnten, wie die Software aktualisiert wird. "Auf diese Weise könnten sie sogar neue Sicherheitslücken entdecken", sagte Bassill. Allerdings besteht diese Gefahr nicht nur durch das Versenden der USB-Sticks. Denn an das Update kann man auch über das Internet gelangen, wenn man eine entsprechende Fahrzeugnummer eingibt.

Wie ein konkretes Angriffsszenario aussehen könnte, erläutert Bassill nicht. Massenschreiben, wie bei Phishing-Attacken im Internet üblich, dürften wohl einen zu großen Aufwand für Hacker bedeuten. Bei einem gezielten Angriff bestünde aber die Möglichkeit, Sicherheitslücken in die Autosoftware einzuschleusen. In diesem Fall würde es auch nichts nützen, wenn die Software der Hersteller von Haus aus sicher wäre.


eye home zur Startseite
lestard 10. Sep 2015

Man könnte es ja so gestalten, dass der Hersteller einen Serienbrief-artigen Text an die...

Klopfer 07. Sep 2015

Daran habe ich auch schon gedacht, aber wer soll das Geld überweisen?

4nima 07. Sep 2015

Muss dich leider entäuschen ... in meiner Firma ist das absolute Pflicht und wird...

RipClaw 07. Sep 2015

Nachts klaut man auch keine Autos. Man fällt zu sehr auf. Einfach warten bis der...

LinuxNerd 06. Sep 2015

Bevor die Hersteller das Bewustsein dafür entwickeln, so ein richtiger Skandal der in den...



Anzeige

Stellenmarkt
  1. MT AG, Ratingen bei Düsseldorf, Köln, Frankfurt am Main, Dortmund
  2. ComputerKomplett SteinhilberSchwehr GmbH, Bielefeld
  3. Garmin Würzburg GmbH, Würzburg
  4. FHE3 GmbH, Karlsruhe


Anzeige
Blu-ray-Angebote
  1. (u. a. Django, Elysium, The Equalizer, White House Down, Ghostbusters 2)
  2. (u. a. Die Goonies, John Mick, Auf der Flucht, Last Man Standing)
  3. 29,99€ (Vorbesteller-Preisgarantie)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Kritische Bereiche der IT-Sicherheit in Unternehmen
  2. Mit digitalen Workflows Geschäftsprozesse agiler machen
  3. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation


  1. Wechsel zu VP9

    Youtube spielt keine 4K-Videos in Safari ab

  2. Steadicam Volt

    Steadicam-Halterung für die Hosentasche

  3. Eingefrorene Macs

    Apple aktualisiert Sicherheitsupdate

  4. Android Wear 2.0

    Erste neue Smartwatches kommen von LG

  5. Open Data

    Thüringen stellt Geodaten kostenfrei zur Verfügung

  6. Whistleblowerin

    Obama begnadigt Chelsea Manning

  7. Stadtnetz

    Straßenbeleuchtung als Wifi-Standort problematisch

  8. Netzsperren

    UK-Regierung könnte Pornozensur willkürlich beschließen

  9. Kartendienst

    Google Maps soll künftig Parksituation anzeigen

  10. PowerVR Series 8XE Plus

    Imgtechs Smartphone-GPUs erhalten ein Leistungsplus



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Autonomes Fahren: Wenn die Strecke dem Zug ein Telegramm schickt
Autonomes Fahren
Wenn die Strecke dem Zug ein Telegramm schickt
  1. Fahrgastverband "WLAN im Zug funktioniert ordentlich"
  2. Deutsche Bahn WLAN im ICE wird kostenlos
  3. Mobilfunk Telekom baut LTE an Regionalbahnstrecken aus

Intel Core i7-7700K im Test: Kaby Lake = Skylake + HEVC + Overclocking
Intel Core i7-7700K im Test
Kaby Lake = Skylake + HEVC + Overclocking
  1. Kaby Lake Intel macht den Pentium dank HT fast zum Core i3
  2. Kaby Lake Refresh Intel plant weitere 14-nm-CPU-Generation
  3. Intel Kaby Lake Vor der Vorstellung schon im Handel

Dienste, Programme und Unternehmen: Was 2016 eingestellt und geschlossen wurde
Dienste, Programme und Unternehmen
Was 2016 eingestellt und geschlossen wurde
  1. Kabel Mietminderung wegen defektem Internetkabel zulässig
  2. Grundversorgung Kanada macht Drosselung illegal
  3. Internetzugänge 50 MBit/s günstiger als 16 MBit/s

  1. Re: Ich habe seit zwei Jahren eine LG-Smartwatch

    Maximilian154 | 08:46

  2. Re: Weiterer Grund für die Abwanderung aus den...

    Dwalinn | 08:46

  3. Re: Und die Justiz wird übergangen!

    Oktavian | 08:45

  4. Re: Hurra!

    b1n0ry | 08:44

  5. Cross Device viel nützlicher

    underlines | 08:44


  1. 08:59

  2. 08:44

  3. 08:21

  4. 08:18

  5. 06:01

  6. 22:50

  7. 19:05

  8. 17:57


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel