Autosteuerung gehackt: Fiat Chrysler schließt gefährliche Sicherheitslücke

Über das Internet können Hacker das Uconnect-System von Fiat Chrysler übernehmen. Selbst die Lenkung und die Bremsen lassen sich damit manipulieren. Europäische Autos sind offenbar nicht betroffen.

Artikel veröffentlicht am ,
Ein Cherokee Jeep mit Uconnect wurde von den Hackern übernommen.
Ein Cherokee Jeep mit Uconnect wurde von den Hackern übernommen. (Bild: M 93/Wikimedia Commons/CC-BY-SA-3.0 (DE))

Mit mehr als 110 Stundenkilometern war Andy Greenberg bei St. Louis im US-Bundesstaat Missouri unterwegs, als plötzlich die Lüftung startete, die Musik sehr laut dröhnte und die Scheibenwischer losgingen. Richtig mulmig wurde es dem Wired-Journalisten aber erst, als Hacker über das Internet auch noch die Geschwindigkeit seines Cherokee Jeeps bis zum Schneckentempo drosselten. Zwar war Greenberg nur ein Versuchskaninchen der beiden Sicherheitsexperten Charlie Miller und Chris Valasek. Doch das Beispiel zeigt, welche Gefahren Unterhaltungssysteme im Auto bergen, die über das Internet verbunden sind.

Das System von Fiat-Chrysler heißt Uconnect und ist nicht nur in Jeeps, sondern auch in den anderen Modellen des Unternehmens verfügbar, beispielsweise für die europäischen Marken Fiat, Lancia, Alfa Romeo oder die US-Marken Chrysler, Dogde, SRT und RAM. Uconnect steuert nicht nur die Unterhaltungssysteme oder die Navigation. Mit Hilfe einer Smartphone-App lässt sich das Auto auch aus der Ferne starten oder verriegeln.

Manipulierte Firmware auf Steuerchip installiert

Details zu ihrem Hack wollen Miller und Valasek erst auf der Black-Hat-Konferenz im kommenden Monat in Las Vegas veröffentlichen. Dem Bericht zufolge ist es ihnen gelungen, einen Chip in der Steuerungseinheit des Autos mit einer modifizierten Firmware zu beschreiben. Dadurch wurde es ihnen möglich, über den fahrzeuginternen CAN-Bus Befehle an verschiedene Stellelemente (Aktoren) zu senden. Selbst die Lenkung konnten sie übernehmen, allerdings nur im Rückwärtsgang. In einem Video ist zudem zu sehen, wie sie die Bremsen des Wagens blockierten, so dass der Jeep eine Böschung hinunterfuhr.

Besitzer sollen ihre Software aktualisieren

Die Sicherheitsforscher mahnen Besitzer der Chrysler-Wagen, ihre Software zu aktualisieren. Bereits vor neun Monaten hatten die Forscher den Autohersteller über die Sicherheitslücke informiert. Aber erst am 16. Juli 2015 veröffentlichte Fiat-Chrysler einen Hinweis für seine US-Kunden, wonach ein Softwareupdate für Uconnect zur Verfügung stünde. Dem Wired-Bericht zufolge lässt sich das Update allerdings nicht über das Internet installieren. Die Autobesitzer müssen dazu die Daten auf einen USB-Stick speichern und in ihr Fahrzeug überspielen. Miller zeigte sich besorgt über das Sicherheitsproblem. "Das ist die Art von Softwarefehler, die am ehesten jemanden töten kann", sagte er.

Miller und Valasek untersuchen seit Jahren die Software von Autos auf Sicherheitslücken. So hatten sie bereits vor zwei Jahren auf der Defcon einen Hack präsentiert. Damals hatten sie aber noch selbst im Auto sitzen müssen, um die Steuerungsfunktionen zu manipulieren.

Nachtrag vom 22. Juli 2015, 18:00 Uhr

Hersteller Fiat Chrysler sagte der Nachrichtenagentur dpa am Mittwoch, Jeeps auf dem europäischen Markt seien nicht betroffen. Das betroffene GSM-Mobilfunk-Modul zum Internetzugang sei hier nicht verbaut. "Der Zugang geschah über eine GSM-Schnittstelle im Fahrzeug, die es nur bei Autos auf dem amerikanischen Markt gibt", sagte ein Sprecher. Nur so sei der Zugang von außen möglich gewesen. "Diese Tür existiert bei europäischen Autos nicht. Für Kunden in Europa ist das also kein Thema."

Die beiden Hacker hätten zudem erst die IP-Adresse des Autos ausfindig machen müssen. Das sei nur aufgrund einer Schwachstelle bei dem Internetanbieter der Jeeps möglich gewesen, sagte der Chrysler-Sprecher. "Da ist ein enormer Aufwand nötig. Das war mehr als nur eine Sicherheitslücke im Auto."

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Rulf 23. Jul 2015

solange die opfer dieser firmenpolitik klaglos von den versicherungen entschädigt bzw die...

Rulf 23. Jul 2015

das man sich auf sw nicht verlassen kann, sollte jedem fachmann bekannt sein...desw wäre...

TrashFan 23. Jul 2015

Als Beziehungsstatus "Es ist kompliziert" und das Fahrzeug fängt bei der nächsten...

[gelöscht] 22. Jul 2015



Aktuell auf der Startseite von Golem.de
Entwickler
ChatGPT könnte Google-Job mit 183.000 Dollar Gehalt kriegen

Google hat ChatGPT mit Fragen aus seinem Entwickler-Bewerbungsgespräch gefüttert. Die KI könne demnach eine Einsteigerposition erhalten.

Entwickler: ChatGPT könnte Google-Job mit 183.000 Dollar Gehalt kriegen
Artikel
  1. Politische Ansichten auf Google Drive: Letzte Generation mit Datenschutz-Super-GAU
    Politische Ansichten auf Google Drive
    Letzte Generation mit Datenschutz-Super-GAU

    Die Aktivisten der Letzten Generation haben Daten von Unterstützern mitsamt politischer Meinung und Gefängnisbereitschaft ungeschützt auf Google Drive gelagert.

  2. Windkraft-Ausbauplan: Scholz will vier bis fünf neue Windräder pro Tag
    Windkraft-Ausbauplan
    Scholz will vier bis fünf neue Windräder pro Tag

    Die Energiewende in Deutschland soll durch einen massiven Ausbau der Windkraft-Anlagen vorangetrieben werden. Bundeskanzler Scholz will Tempo machen.

  3. Telekom-Internet-Booster: Hybridzugang der Telekom mit 5G ist verfügbar
    Telekom-Internet-Booster
    Hybridzugang der Telekom mit 5G ist verfügbar

    Die 5G-Antenne der Telekom hängt an einem zehn Meter langen Flachbandkabel. Die zugesagte Datenrate reicht bis 300 MBit/s im Download.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Logitech G915 Lightspeed 219,89€ • ASUS ROG Strix Scope Deluxe 107,89€ • Gigabyte B650 Gaming X AX 185,99€ • Alternate Weekend Sale • MindStar: be quiet! Dark Rock 4 49€, Fastro MS200 2TB 95€ • Mindfactory DAMN-Deals: Grakas & CPUS u. a. AMD Ryzen 7 5700X 175€ • PCGH Cyber Week [Werbung]
    •  /