Abo
  • Services:
Anzeige
Der Hacker Samy Kamkar hat sich mit einem selbst gebastelten Access Point in Fahrzeuge von GM eingeklinkt.
Der Hacker Samy Kamkar hat sich mit einem selbst gebastelten Access Point in Fahrzeuge von GM eingeklinkt. (Bild: Samy Kamkar)

Schwachstellen: Fernzugriff öffnet Autotüren

Der Hacker Samy Kamkar hat sich mit einem selbst gebastelten Access Point in Fahrzeuge von GM eingeklinkt.
Der Hacker Samy Kamkar hat sich mit einem selbst gebastelten Access Point in Fahrzeuge von GM eingeklinkt. (Bild: Samy Kamkar)

Einem Hacker ist es gelungen, sich in die Software Onstar Remotelink des US-Autoherstellers General Motors einzuklinken. Damit lässt sich das Fahrzeug entriegeln und sogar starten. Wegfahren konnte er mit dem gehackten Fahrzeug aber nicht.

Anzeige

Onstar Remotelink ist eine Komfortfunktion, die General Motors (GM) in neue Fahrzeuge integriert. Per iOS-App kann ein Fahrzeug auf weitläufigen Parkplätzen verortet, entriegelt und auch gestartet werden. In der Kommunikation zwischen App und Fahrzeug hat der Hacker Samy Kamkar aber eine Schwachstelle entdeckt, die eine Man-in-the-Middle-Attacke ermöglicht. General Motors hat nach eigenen Angaben die Lücke bereits repariert. Onstar Remotelink solle im Laufe des Jahres auch in neuen Modellen der GM-Tochter Opel integriert werden, schreibt Spiegel Online.

Kamkar hat für seine Machbarkeitsstudie für etwa 100 US-Dollar einen eigenen WLAN-Hotspot zusammengebaut. Der ließe sich problemlos in der Nähe oder an einem Auto anbringen. Das iOS-Gerät müsse sich dann nur mit seinem Access Point verbinden, und schon habe er weitgehende Kontrolle über das Fahrzeug, sagte Kamkar zu Wired.

Unzureichende Zertifikatsprüfung

Die Schwachstelle liege in der mangelnden Überprüfung der Zertifikate, die die App verwendet, um eine SSL-Verbindung zu den Servern des Onstar-Netzwerks aufzubauen. Trotz verschlüsselter Kommunikation lässt sich der Datenverkehr mit einem eigenen Zertifikat abgreifen. So gelangte Kamkar an die Zugangsdaten des Besitzers. Sein selbst gebastelter Access Point besteht aus einem Raspberry Pi. Die gestohlenen Daten werden über ein integriertes GSM-Modul an ihn weitergeleitet.

Die Schwachstelle sei nicht in der Software des Fahrzeugs selbst, betont Kamkar. Obgleich er mit den gestohlenen Daten genau die Komfortfunktionen nutzen kann, die die Remotelink-App bietet, mit dem Auto wegfahren oder es während der Fahrt manipulieren, kann er nicht. Das Fahrzeug lässt sich zwar vorübergehend starten, der Motor stellt sich aber automatisch nach kurzer Zeit wieder ab, wenn der echte Schlüssel nicht zwischenzeitlich im Fahrzeug verwendet wird. Immerhin könnten die Position des Fahrzeugs verfolgt, die Türen entriegelt und der akustische Alarm ausgelöst werden, sagte Kamkar zu Wired. Er will seine Recherchen auf der Hackerkonferenz Defcon 2015 in Las Vegas im August 2015 präsentieren.

Fahrzeugsoftware im Visier der Hacker

Erst kürzlich wurde ein deutlich gravierenderer Angriff auf Fahrzeugsysteme gemeldet. Über den digitalen Sendestandard DAB können Angreifer Schadcode auf ein Auto übertragen. Danach konnten die IT-Sicherheitsforscher des Computer-Sicherheitsunternehmens NCC Group etwa in die Lenkung eingreifen oder die Bremsen manipulieren. So sei es beispielsweise möglich, über das Infotainment-System den Assistenten auszuschalten, der den Abstand zum vorausfahrenden Auto regelt und bei zu nahem Auffahren automatisch bremst.

Zuvor hatten die Sicherheitsexperten Charlie Miller und Chris Valasek vorgeführt, dass es möglich ist, über das Infotainment-System Uconnect von Fiat-Chrysler die Kontrolle über einen Jeep Cherokee zu übernehmen. Sie konnten während der Fahrt die Lautstärke der Musik verändern, die Scheibenwischer und das Auto abbremsen. Daraufhin hatte der Autobauer Fiat Chrysler Automobiles 1,4 Millionen Modelle der Marken Dodge, Ram und Jeep zurückgerufen. Ein von Uconnect bereitgestelltes Update lässt sich nur direkt über einen USB-Stick einspielen.


eye home zur Startseite
photoliner 03. Aug 2015

Dann bleibt nur zu hoffen, dass du eine gute Hausratversicherung oder erweiterte KFZ...

Captain 03. Aug 2015

Vom Nachweis des Einbruchs mal abgesehen, viel Spass mit der Versicherung...

Moe479 02. Aug 2015

wenn mir einer meinen schlüssel-bund 'entwendet' habe ich das gleiche oder ein noch viel...



Anzeige

Stellenmarkt
  1. AreaDigital AG, Fürth
  2. über Robert Half Technology, Stuttgart
  3. Dynamic Engineering GmbH, München
  4. über Tröger & Cie. Aktiengesellschaft, Baden-Württemberg


Anzeige
Spiele-Angebote
  1. 6,49€
  2. für je 11,99€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Potenzialanalyse für eine effiziente DMS- und ECM-Strategie
  2. Globale SAP-Anwendungsunterstützung durch Outsourcing
  3. Kritische Bereiche der IT-Sicherheit in Unternehmen


  1. Project Mortar

    Mozilla möchte Chrome-Plugins für Firefox unterstützen

  2. Remedy

    Steam-Version von Quantum Break läuft bei Nvidia flotter

  3. Videostreaming

    Twitch Premium wird Teil von Amazon Prime

  4. Dark Souls & Co.

    Tausende Tode vor Tausenden von Zuschauern

  5. Die Woche im Video

    Grüne Welle und grüne Männchen

  6. Systemd.conf 2016

    Pläne für portable Systemdienste und neue Kernel-IPC

  7. Smartphones und Tablets

    Bundestrojaner soll mehr können können

  8. Internetsicherheit

    Die CDU will Cybersouverän werden

  9. 3D-Flash-Speicher

    Micron stellt erweiterte Fab 10X fertig

  10. Occipital

    VR Dev Kit ermöglicht Roomscale-Tracking per iPhone



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Canon vs. Nikon: Superzoomer für unter 250 Euro
Canon vs. Nikon
Superzoomer für unter 250 Euro
  1. Snap Spectacles Snapchat stellt Sonnenbrille mit Kamera vor
  2. MacOS 10.12 Fujitsu warnt vor der Nutzung von Scansnap unter Sierra
  3. Bildbearbeitungs-App Prisma offiziell für Android erhältlich

Autonomes Fahren: Die Ethik der Vollbremsung
Autonomes Fahren
Die Ethik der Vollbremsung
  1. Autonomes Fahren Komatsu baut Schwerlaster ohne Führerstand
  2. Postauto Autonomer Bus baut in der Schweiz einen Unfall
  3. Sebastian Thrun Udacity will autonomes Auto als Open-Source-Modell anbieten

Besuch bei Dedrone: Keine Chance für unerwünschte Flugobjekte
Besuch bei Dedrone
Keine Chance für unerwünschte Flugobjekte
  1. In the Robot Skies Drohnen drehen einen Science-Fiction-Film
  2. UTM Nokia lässt Drohnen am Flughafen steigen
  3. Project Wing Google fliegt Burritos aus

  1. Re: Na das sind Probleme: "du machst aber alles...

    JouMxyzptlk | 17:12

  2. Re: Das Spiel auf eigene Faust erkunden und die...

    JouMxyzptlk | 17:07

  3. Re: So eine Verschwendung von Steuergeldern

    divStar | 16:59

  4. Re: endlich wird's den deutschen autobauern mal...

    Ach | 16:52

  5. Re: Ein Beispiel woraus man lernen könnte

    RipClaw | 16:49


  1. 13:15

  2. 12:30

  3. 11:45

  4. 11:04

  5. 09:02

  6. 08:01

  7. 19:24

  8. 19:05


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel