• IT-Karriere:
  • Services:

Fahrzeugsicherheit: Forscher hacken komplette Lenkung über CAN-Bus

Der spektakuläre Hack eines Chrysler-Jeeps hat im vergangenen Jahr weltweit Schlagzeilen gemacht. Nun legen zwei US-Sicherheitsexperten nach und warnen vor den Gefahren manipulierter Autosoftware.

Artikel veröffentlicht am ,
Ein Cherokee Jeep wurde von zwei US-Forschern manipuliert.
Ein Cherokee Jeep wurde von zwei US-Forschern manipuliert. (Bild: M 93/Wikimedia Commons/CC-BY-SA-3.0 (DE))

Zwei US-Forscher haben nach eigenen Angaben gravierende Sicherheitsprobleme in der elektronischen Steuerung von Pkw ausgemacht. Wie das Magazin Wired berichtet, gelang es den Experten Charlie Miller und Chris Valasek, fahrzeuginterne Sicherheitskomponenten auszuschalten. Auf diese Weise würde es möglich, die Lenkung eines getesteten Cherokee-Jeeps von Fiat Chrysler bei einer beliebigen Geschwindigkeit zu manipulieren. Miller und Valasek hatten vor gut einem Jahr gezeigt, wie sich ein Jeep aus der Entfernung über das Internet hacken lässt.

Stellenmarkt
  1. CipSoft GmbH, Regensburg
  2. Materna Information & Communications SE, Berlin, Dortmund, Dresden, Köln, Düsseldorf

Die beiden Sicherheitsforscher, die inzwischen für den Mitfahrdienst Uber arbeiten, drangen seitdem noch tiefer in die Fahrzeugelektronik ein. Bei ihrem Hack vor einem Jahr waren bestimmte Manipulationen noch von der Fahrzeugelektronik begrenzt worden. So war es ihnen lediglich beim Rückwärtsfahren möglich, die Lenkung zu übernehmen. Nun sei es ihnen gelungen, bei voller Geschwindigkeit das Lenkrad beliebig zu drehen, berichtete Wired.

Interne Kontrolle ausgeschaltet

Um dies zu erzielen, hätten die Forscher interne Sicherheitsmechanismen ausgeschaltet. So verfüge der Jeep über mehrere Steuergeräte (ECUs), die sich gegenseitig kontrollierten. Miller und Valasek gelang es nun, eine Kontroll-ECU lahmzulegen, so dass zuvor im Diagnosemodus blockierte Befehle an die Aktoren gesendet werden konnten. Für diesen Zweck versetzten die Forscher die zweite ECU in einen "Bootrom"-Modus. Dieser werde für die Aktualisierung der Firmware benötigt. Mit einer weiteren Methode ohne den "Bootrom-"Trick konnten sie zudem den Tempomaten so manipulieren, dass der Wagen innerhalb kurzer Zeit stark beschleunigte.

Da Fiat Chrysler die von einem Jahr entdeckte Sicherheitslücke im Infotainment-System Uconnect geschlossen hat, konnten Miller und Valasek den Jeep dieses Mal nicht aus der Ferne hacken. Sie mussten dazu einen Laptop an die Diagnoseschnittstelle OBD2 anschließen. Nach Ansicht von Miller und Valasek zeigt der neue Hack jedoch, dass die Gefahren durch manipulierte Autosoftware noch deutlich größer sein könnten als vor einem Jahr gezeigt. Wired zitiert den Sicherheitsforscher Karl Koscher von der Universität San Diego mit den Worten: "Es wird mit großer Wahrscheinlichkeit in Zukunft Sicherheitslücken über das Netz geben. Wenn man auf den richtigen CAN-Bus über solche Lücken kommt, kann man eine sehr tiefgreifende Kontrolle über das Auto erlangen."

Manipulationen über CAN-Bus verhindern

Miller und Valasek fordern daher weitergehende Sicherheitsmaßnahmen durch die Fahrzeugindustrie. Die Hersteller sollten die gezeigten CAN-Manipulationen beispielsweise dadurch verhindern, dass potenziell gefährliche Diagnosetests erst nach dem Betätigen eines mechanischen Schalters durch den Mechaniker möglich sind. Die beiden Forscher wiesen darauf hin, dass ein aufmerksamer Fahrer die manipulierten Softwarebefehle mit Hilfe des Lenkrades oder der Pedale übersteuern könne. Vor dem Hintergrund, dass bei hoch- und vollautomatisierten Fahrzeugen der Fahrer andere Tätigkeiten übernehmen kann, wirkt das jedoch wenig beruhigend.

Die Autoindustrie ist sich inzwischen dessen bewusst, welche Gefahren durch das Hacken der Fahrzeugsteuerung entstehen können. So hatte Daimler-Chef Dieter Zetsche den Kauf des Kartendienstes Here auch mit der Angst vor Hackerattacken begründet. Zuletzt veröffentlichte ein Informationszentrum der Autohersteller (Auto-ISAC) einen Katalog mit "bewährten Verfahren" für die Sicherheit der Fahrzeugelektronik. Damit soll die "automobile Cybersicherheit" verbessert werden. Dies entspricht einer Forderung aus den "Proaktiven Sicherheitsprinzipien 2016", die Anfang dieses Jahres in den USA beschlossen worden waren.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. (u. a. Samsung 860 EVO 1 TB für 85€)
  2. (u. a. Samsung 860 EVO 1 TB für 85€)
  3. 85€ (Bestpreis mit MediaMarkt/Saturn. Vergleichspreis 99,99€)
  4. 69,90€ + Versand (Vergleichspreis ca. 103€)

barforbarfoo 03. Aug 2016

Dummes Zeug, das Problem gibt durchaus schon ein paar Jahre länger, die Nummer von BMW...

Gudera 03. Aug 2016

Vielen Dank!

Gudera 03. Aug 2016

Keyless Systeme hätte ich schon als Versicherer gleich mal massiv hochgestuft, unsicher...

Gudera 03. Aug 2016

Versicherer habe ich drinstehen - unter Business - insurer ;-) Ich schau mir die Grafik...

Gudera 03. Aug 2016

Warum eigentlich zusätzliche Hardware? Das Navi ist doch drin - das ist besser als ein...


Folgen Sie uns
       


Mafia (2002) - Golem retro_

Wer in der Mafia hoch hinaus will, muss loyal sein - ansonsten verstößt ihn die Familie. In Golem retro_ haben wir das erneut selbst erlebt.

Mafia (2002) - Golem retro_ Video aufrufen
Summit Lite im Test: Auch Montblancs günstige Smartwatch ist zu teuer
Summit Lite im Test
Auch Montblancs "günstige" Smartwatch ist zu teuer

Montblancs Summit Lite ist eine Smartwatch für Fitnessbegeisterte, die nach echter Uhr aussieht. Den Preis halten wir trotz hervorragender Verarbeitung für zu hoch.
Ein Test von Tobias Költzsch

  1. Soziales Netzwerk Bei Facebook entsteht eine Smartwatch im Geheimen
  2. Wearable Amazfit bringt kompakte Smartwatch für 100 Euro
  3. T-Touch Connect Solar Tissots Smartwatch ab 935 Euro in Deutschland verfügbar

Börse: Was zur Hölle ist ein SPAC?
Börse
Was zur Hölle ist ein SPAC?

SPACs sind die neue Modewelle an der Börse: Firmen, die es eigentlich nicht könnten, gehen unter dem Mantel einer anderen Firma an die Börse. Golem.de hat unter den Mantel geschaut.
Eine Analyse von Achim Sawall

  1. Wallstreetbets Trade Republic entschuldigt sich für Probleme mit Gamestop
  2. Tokyo Stock Exchange Hardware-Ausfall legte Tokioter Börse lahm

Logitech vs. Cherry: Leise klackert es im Büro (oder auch nicht)
Logitech vs. Cherry
Leise klackert es im Büro (oder auch nicht)

Tastaturen für die Büroarbeit brauchen keine Beleuchtung - gut tippen muss man auf ihnen können. Glücklich wird man sowohl mit der Logitech K835 TKL als auch mit der Cherry Stream Desktop.
Ein Test von Tobias Költzsch

  1. SPC Gear Mechanische TKL-Tastatur mit RGB kostet 55 Euro
  2. Launch Neue Details zur Open-Source-Tastatur von System76
  3. Youtube Elektroschock-Tastatur bestraft schlampiges Tippen

    •  /