Alarmsysteme: Sicherheitslücke ermöglicht Übernahme von Autos

Autoalarmanlagen sollen das geliebte Gefährt vor Diebstahl schützen. Britische Sicherheitsforscher fanden jedoch in den Apps von zwei Anbietern Sicherheitslücken, über die sie genau das erreichen konnten, was das System verhindern soll: ein Auto zu stehlen.

Artikel veröffentlicht am ,
Range Rover: Motor während der Fahrt abgeschaltet.
Range Rover: Motor während der Fahrt abgeschaltet. (Bild: Land Rover)

Unsichere Sicherheitssysteme: Die Alarmanlagen, die Autos schützen sollen, hatten Schwachstellen, über die Angreifer die Kontrolle über die Fahrzeuge erlangen konnten. Die Lücken sind inzwischen geschlossen.

Stellenmarkt
  1. Systemadministrator (m/w/d) für den Bereich "Querverbundleitstelle"
    Netze Duisburg GmbH, Duisburg
  2. Wissenschaftlicher Mitarbeiter (m/w/d) am Lehrstuhl für Wirtschaftsinformatik mit Schwerpunkt ... (m/w/d)
    Universität Passau, Passau
Detailsuche

Die Sicherheitsforscher des britischen Unternehmens Pen Test Partners hatten die Produkte der Hersteller Viper und Pandora Car Alarm System überprüft. Die Alarmanlagen lassen sich über eine App steuern. Mit dieser kann der Autofahrer sein Gefährt lokalisieren oder die Türen öffnen.

Allerdings musste das Team nicht die Alarmanlage selbst hacken: Es war die App, über die die Sicherheitsforscher sich Zugang zu den Fahrzeugen verschaffen konnten. Möglich war das durch eine fehlerhaft konfigurierte Schnittstelle: Bei einer Aktualisierung prüfte die App nicht, ob eine Anfrage autorisiert war. Die Forscher konnten Passwort und E-Mail-Adresse eines Kontos ändern, ohne dass der Besitzer des Fahrzeug das mitbekam.

So erhielten sie praktisch unbegrenzten Zugriff auf das Auto: Sie konnten es lokalisieren, die Alarmanlage aktivieren oder deaktivieren, die Türen öffnen und den Motor starten - hätten also ein Auto, das mit einer Alarmanlage gegen Diebstahl gesichert war, einfach stehlen können.

Golem Karrierewelt
  1. Cinema 4D Grundlagen: virtueller Drei-Tage-Workshop
    09.-11.01.2023, Virtuell
  2. Advanced Python – Fortgeschrittene Programmierthemen: virtueller Drei-Tage-Workshop
    23.-25.01.2023, Virtuell
Weitere IT-Trainings

Sie stellten zudem fest, dass sie bei einem Range Rover, bei dem ein System von Viper installiert war, von außen den Motor während der Fahrt abschalten konnten. Das Abschalten des Motors soll verhindern, dass ein Auto, nachdem es aufgebrochen wurde, weggefahren wird - es soll aber nicht während der Fahrt geschehen. Das könne schwere Auswirkungen auf die Sicherheit haben, schreibt Pen-Test-Partner-Chef Ken Munro: Bösartige Täter könnten dadurch schwere Unfälle bei hohem Tempo auslösen.

Pen Test Partner hatte die Sicherheitslücke im vergangenen Oktober entdeckt und die Hersteller im Februar informiert. Beide reagierten umgehend und schlossen die Sicherheitslücke innerhalb weniger Tage.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


HeroFeat 10. Mär 2019

Also das Tesla Model 3 wird beispielsweise standardmäßig mit 2 Methoden geöffnet. Erstens...

Hotohori 09. Mär 2019

Oder was ich damit sagen will: solche News werden wir in Zukunft öfters lesen, sobald...

Avarion 08. Mär 2019

Die zahlt aber nur den Zeitwert. Also nach einem Jahr bekommst du nurnoch einen Teil...

bolzen 08. Mär 2019

... Leute die sowas hacken können, klauen normalerweise keine Autos.



Aktuell auf der Startseite von Golem.de
Bundesarbeitsgericht
Arbeitgeber müssen Arbeitszeiten zwingend erfassen

Das vollständige Urteil des BAG zur Arbeitszeiterfassung liegt nun vor. Diese muss zwingend erfolgen, aber nicht unbedingt elektronisch.

Bundesarbeitsgericht: Arbeitgeber müssen Arbeitszeiten zwingend erfassen
Artikel
  1. I am Jesus Christ angespielt: Der Jesus-Simulator lässt uns vom Glauben abfallen
    I am Jesus Christ angespielt
    Der Jesus-Simulator lässt uns vom Glauben abfallen

    Kein Scherz, keine geplante Gotteslästerung: In I am Jesus Christ treten wir als Heiland an. Golem.de hat den kostenlosen Prolog ausprobiert.
    Von Peter Steinlechner

  2. Zusammen mit Keychron: Oneplus entwickelt mechanische Tastatur
    Zusammen mit Keychron
    Oneplus entwickelt mechanische Tastatur

    Zusammen mit Keychron will Oneplus eine mechanische Tastatur auf den Markt bringen. Der Preis dürfte eher niedrig als hoch sein.

  3. ChatGPT: Der geniale Bösewicht-Chatbot mit Stackoverflow-Bann
    ChatGPT
    Der geniale Bösewicht-Chatbot mit Stackoverflow-Bann

    ChatGPT scheint zu gut, um wahr zu sein. Der Chatbot wird von Nutzern an die (legalen) Grenzen getrieben.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • NBB: Samsung Odyssey G5 WQHD/165 Hz 203,89€ u. Odyssey G9 49"/DQHD/240Hz 849,90€ • ViewSonic VX3258 WQHD/144 Hz 229,90€ • Elgato Cam Link Pro 146,89€ • Mindstar: Alphacool Eiswolf 2 AiO 360 199€ • Alternate: Tt eSPORTS Ventus X Plus 31,98€ • 4x Philips Hue White Ambiance 49,99€ [Werbung]
    •  /