Anzeige
Der Hacker Samy Kamkar hat sich mit einem selbst gebastelten Access Point in Fahrzeuge von GM eingeklinkt.
Der Hacker Samy Kamkar hat sich mit einem selbst gebastelten Access Point in Fahrzeuge von GM eingeklinkt. (Bild: Samy Kamkar)

Schwachstellen: Fernzugriff öffnet Autotüren

Der Hacker Samy Kamkar hat sich mit einem selbst gebastelten Access Point in Fahrzeuge von GM eingeklinkt.
Der Hacker Samy Kamkar hat sich mit einem selbst gebastelten Access Point in Fahrzeuge von GM eingeklinkt. (Bild: Samy Kamkar)

Einem Hacker ist es gelungen, sich in die Software Onstar Remotelink des US-Autoherstellers General Motors einzuklinken. Damit lässt sich das Fahrzeug entriegeln und sogar starten. Wegfahren konnte er mit dem gehackten Fahrzeug aber nicht.

Anzeige

Onstar Remotelink ist eine Komfortfunktion, die General Motors (GM) in neue Fahrzeuge integriert. Per iOS-App kann ein Fahrzeug auf weitläufigen Parkplätzen verortet, entriegelt und auch gestartet werden. In der Kommunikation zwischen App und Fahrzeug hat der Hacker Samy Kamkar aber eine Schwachstelle entdeckt, die eine Man-in-the-Middle-Attacke ermöglicht. General Motors hat nach eigenen Angaben die Lücke bereits repariert. Onstar Remotelink solle im Laufe des Jahres auch in neuen Modellen der GM-Tochter Opel integriert werden, schreibt Spiegel Online.

Kamkar hat für seine Machbarkeitsstudie für etwa 100 US-Dollar einen eigenen WLAN-Hotspot zusammengebaut. Der ließe sich problemlos in der Nähe oder an einem Auto anbringen. Das iOS-Gerät müsse sich dann nur mit seinem Access Point verbinden, und schon habe er weitgehende Kontrolle über das Fahrzeug, sagte Kamkar zu Wired.

Unzureichende Zertifikatsprüfung

Die Schwachstelle liege in der mangelnden Überprüfung der Zertifikate, die die App verwendet, um eine SSL-Verbindung zu den Servern des Onstar-Netzwerks aufzubauen. Trotz verschlüsselter Kommunikation lässt sich der Datenverkehr mit einem eigenen Zertifikat abgreifen. So gelangte Kamkar an die Zugangsdaten des Besitzers. Sein selbst gebastelter Access Point besteht aus einem Raspberry Pi. Die gestohlenen Daten werden über ein integriertes GSM-Modul an ihn weitergeleitet.

Die Schwachstelle sei nicht in der Software des Fahrzeugs selbst, betont Kamkar. Obgleich er mit den gestohlenen Daten genau die Komfortfunktionen nutzen kann, die die Remotelink-App bietet, mit dem Auto wegfahren oder es während der Fahrt manipulieren, kann er nicht. Das Fahrzeug lässt sich zwar vorübergehend starten, der Motor stellt sich aber automatisch nach kurzer Zeit wieder ab, wenn der echte Schlüssel nicht zwischenzeitlich im Fahrzeug verwendet wird. Immerhin könnten die Position des Fahrzeugs verfolgt, die Türen entriegelt und der akustische Alarm ausgelöst werden, sagte Kamkar zu Wired. Er will seine Recherchen auf der Hackerkonferenz Defcon 2015 in Las Vegas im August 2015 präsentieren.

Fahrzeugsoftware im Visier der Hacker

Erst kürzlich wurde ein deutlich gravierenderer Angriff auf Fahrzeugsysteme gemeldet. Über den digitalen Sendestandard DAB können Angreifer Schadcode auf ein Auto übertragen. Danach konnten die IT-Sicherheitsforscher des Computer-Sicherheitsunternehmens NCC Group etwa in die Lenkung eingreifen oder die Bremsen manipulieren. So sei es beispielsweise möglich, über das Infotainment-System den Assistenten auszuschalten, der den Abstand zum vorausfahrenden Auto regelt und bei zu nahem Auffahren automatisch bremst.

Zuvor hatten die Sicherheitsexperten Charlie Miller und Chris Valasek vorgeführt, dass es möglich ist, über das Infotainment-System Uconnect von Fiat-Chrysler die Kontrolle über einen Jeep Cherokee zu übernehmen. Sie konnten während der Fahrt die Lautstärke der Musik verändern, die Scheibenwischer und das Auto abbremsen. Daraufhin hatte der Autobauer Fiat Chrysler Automobiles 1,4 Millionen Modelle der Marken Dodge, Ram und Jeep zurückgerufen. Ein von Uconnect bereitgestelltes Update lässt sich nur direkt über einen USB-Stick einspielen.


eye home zur Startseite
photoliner 03. Aug 2015

Dann bleibt nur zu hoffen, dass du eine gute Hausratversicherung oder erweiterte KFZ...

Captain 03. Aug 2015

Vom Nachweis des Einbruchs mal abgesehen, viel Spass mit der Versicherung...

Moe479 02. Aug 2015

wenn mir einer meinen schlüssel-bund 'entwendet' habe ich das gleiche oder ein noch viel...

Kommentieren



Anzeige

  1. Senior IT Risk Management und IT Governance (m/w)
    T-Systems International GmbH, Bonn
  2. Sachbearbeiterin / Sachbearbeiter Energiedatenmanagement
    Stadtwerke Solingen GmbH, Solingen
  3. IT Domain Architect (m/w) für Business Architecture und Design
    Allianz Managed Operations & Services SE, München
  4. Frontend-Entwickler (m/w) E-Commerce
    LIDL Stiftung & Co. KG, Neckarsulm oder Berlin

Detailsuche



Anzeige
Spiele-Angebote
  1. Need for Speed: Shift [PC Origin Code]
    2,49€
  2. Gaming-Neuheiten und Deals zur E3
  3. VORBESTELLBAR: FIFA 17 - [PlayStation 4]
    69,99€ (Vorbesteller-Preisgarantie)

Weitere Angebote


Folgen Sie uns
       


  1. Förderung

    Telekom räumt ein, dass Fiber-To-The-Home billiger sein kann

  2. Procter & Gamble

    Windel meldet dem Smartphone, wenn sie voll ist

  3. AVM

    Routerfreiheit bringt Kabel-TV per WLAN auf mobile Geräte

  4. Oculus App

    Vive-Besitzer können wieder Rift-exklusive Titel spielen

  5. Elektroauto

    Supersportwagen BMW i8 soll 400 km rein elektrisch fahren

  6. Keine externen Monitore mehr

    Apple schafft Thunderbolt-Display ersatzlos ab

  7. Browser

    Safari 10 soll auch auf älteren OS-X-Versionen laufen

  8. Dota

    Athleten müssen im E-Sport mehr als nur gut spielen

  9. Die Woche im Video

    Superschnelle Rechner, smarte Zähler und sicherer Spam

  10. Axanar

    Paramount/CBS erlaubt Star-Trek-Fanfilme



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Vorratsdatenspeicherung: Vorgaben übertreffen laut Eco "schlimmste Befürchtungen"
Vorratsdatenspeicherung
Vorgaben übertreffen laut Eco "schlimmste Befürchtungen"
  1. Vorratsdatenspeicherung Alarm im VDS-Tresor
  2. Neue Snowden-Dokumente NSA lobte Deutschlands "wesentliche" Hilfe im Irak-Krieg
  3. Klage Verwaltungsgericht soll Vorratsdatenspeicherung stoppen

E-Mail-Verschlüsselung: EU-Kommission hat Angst vor verschlüsseltem Spam
E-Mail-Verschlüsselung
EU-Kommission hat Angst vor verschlüsseltem Spam
  1. Netflix und Co. EU schafft Geoblocking ein bisschen ab
  2. Android FTC weitet Ermittlungen gegen Google aus
  3. Pay-TV Paramount gibt im Streit um Geoblocking nach

Rust: Ist die neue Programmiersprache besser?
Rust
Ist die neue Programmiersprache besser?
  1. Oracle-Anwältin nach Niederlage "Google hat die GPL getötet"
  2. Java-Rechtsstreit Oracle verliert gegen Google
  3. Oracle vs. Google Wie man Geschworene am besten verwirrt

  1. Sonderbare Mehrung

    UDA | 13:40

  2. Re: vermenschelte Fragen und arg konstruierte...

    plutoniumsulfat | 13:39

  3. Re: Das läuft dann wie bei Druckern...

    4edebd0f81eeffc... | 13:39

  4. Re: neues Thunderbolt Display mit Grafikkarte...

    Netspy | 13:39

  5. Re: Lets encrypt vs Comodo

    Teebecher | 13:37


  1. 10:36

  2. 09:50

  3. 09:15

  4. 09:01

  5. 14:45

  6. 13:59

  7. 13:32

  8. 10:00


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel