Auto-Hacking: Kritik an Sicherheitsupdates per Post

Nach dem spektakulären Hack der Autosoftware in Modellen des Herstellers Fiat Chrysler gibt es Kritik am Vorgehen des Autokonzerns. Es sei keine gute Idee gewesen, das Softwareupdate per Post auf einem USB-Stick zu verschicken, sagte der britische Sicherheitsexperte Pete Bassill von der Firma Hedgehog Security der BBC. Da das Aussehen der Briefe nun bekannt sei, seien sie in Zukunft leicht zu imitieren.

Im vergangenen Juli hatten die US-Sicherheitsforscher Charlie Miller und Chris Valasek berichtet, dass sie einen Cherokee Jeep über das Internet während der Fahrt manipulieren konnten. Als Schwachstelle hatte sich dabei das in den USA verwendete GSM-Modul des Unterhaltungssystems UConnect erwiesen. Wie sich dieses hacken lässt, haben Forscher der US-Universität San Diego kürzlich ausführlich erläutert.

Weiteres Modell betroffen

Fiat Chrysler hatte zunächst den Besitzern von 1,4 Millionen betroffenen Fahrzeugen empfohlen, sich ein Sicherheitsupdate herunterzuladen und per USB-Stick in ihren Wagen zu überspielen. Alternativ konnte das Update auch in einer Autowerkstatt installiert werden. Darüber hinaus erhielten die Besitzer offenbar einen Brief von Fiat Chrysler, dem direkt ein USB-Stick mit dem Update beigefügt war. Am vergangenen Freitag forderte der Konzern zudem die Besitzer eines weiteren Modells dazu auf, ihre Software zu aktualisieren. Betroffen waren rund 8.000 Jeep Renegade, die über ein bestimmtes Radio verfügen. Auch deren Besitzer erhalten einen Brief mit einem USB-Stick.

Nach Ansicht von Bassill kommt das einer Einladung an Hacker gleich. "Angreifer können gefälschte USB-Sticks verschicken und damit auf Opferfang gehen. Das ist genauso, wie wenn E-Mail-Nutzer auf einen bösartigen Link klicken oder einen infizierten Anhang öffnen", sagte er der BBC. Es müsse daher ein Verfahren geben, um sicherzustellen, dass der USB-Stick tatsächlich von Fiat Chrysler stamme.

Gefahr durch Reverse Engineering

Bassill befürchtet zudem, dass Hacker den Stick analysieren und mit Hilfe von Reverse Engineering herausfinden könnten, wie die Software aktualisiert wird. "Auf diese Weise könnten sie sogar neue Sicherheitslücken entdecken", sagte Bassill. Allerdings besteht diese Gefahr nicht nur durch das Versenden der USB-Sticks. Denn an das Update kann man auch über das Internet gelangen, wenn man eine entsprechende Fahrzeugnummer eingibt.

Wie ein konkretes Angriffsszenario aussehen könnte, erläutert Bassill nicht. Massenschreiben, wie bei Phishing-Attacken im Internet üblich, dürften wohl einen zu großen Aufwand für Hacker bedeuten. Bei einem gezielten Angriff bestünde aber die Möglichkeit, Sicherheitslücken in die Autosoftware einzuschleusen. In diesem Fall würde es auch nichts nützen, wenn die Software der Hersteller von Haus aus sicher wäre.