Original-URL des Artikels: https://www.golem.de/news/schwachstellen-fernzugriff-oeffnet-autotueren-1508-115533.html    Veröffentlicht: 01.08.2015 10:34    Kurz-URL: https://glm.io/115533

Schwachstellen

Fernzugriff öffnet Autotüren

Einem Hacker ist es gelungen, sich in die Software Onstar Remotelink des US-Autoherstellers General Motors einzuklinken. Damit lässt sich das Fahrzeug entriegeln und sogar starten. Wegfahren konnte er mit dem gehackten Fahrzeug aber nicht.

Onstar Remotelink ist eine Komfortfunktion, die General Motors (GM) in neue Fahrzeuge integriert. Per iOS-App kann ein Fahrzeug auf weitläufigen Parkplätzen verortet, entriegelt und auch gestartet werden. In der Kommunikation zwischen App und Fahrzeug hat der Hacker Samy Kamkar aber eine Schwachstelle entdeckt, die eine Man-in-the-Middle-Attacke ermöglicht. General Motors hat nach eigenen Angaben die Lücke bereits repariert. Onstar Remotelink solle im Laufe des Jahres auch in neuen Modellen der GM-Tochter Opel integriert werden, schreibt Spiegel Online.

<#youtube id="3olXUbS-prU">

Kamkar hat für seine Machbarkeitsstudie für etwa 100 US-Dollar einen eigenen WLAN-Hotspot zusammengebaut. Der ließe sich problemlos in der Nähe oder an einem Auto anbringen. Das iOS-Gerät müsse sich dann nur mit seinem Access Point verbinden, und schon habe er weitgehende Kontrolle über das Fahrzeug, sagte Kamkar zu Wired.

Unzureichende Zertifikatsprüfung

Die Schwachstelle liege in der mangelnden Überprüfung der Zertifikate, die die App verwendet, um eine SSL-Verbindung zu den Servern des Onstar-Netzwerks aufzubauen. Trotz verschlüsselter Kommunikation lässt sich der Datenverkehr mit einem eigenen Zertifikat abgreifen. So gelangte Kamkar an die Zugangsdaten des Besitzers. Sein selbst gebastelter Access Point besteht aus einem Raspberry Pi. Die gestohlenen Daten werden über ein integriertes GSM-Modul an ihn weitergeleitet.

Die Schwachstelle sei nicht in der Software des Fahrzeugs selbst, betont Kamkar. Obgleich er mit den gestohlenen Daten genau die Komfortfunktionen nutzen kann, die die Remotelink-App bietet, mit dem Auto wegfahren oder es während der Fahrt manipulieren, kann er nicht. Das Fahrzeug lässt sich zwar vorübergehend starten, der Motor stellt sich aber automatisch nach kurzer Zeit wieder ab, wenn der echte Schlüssel nicht zwischenzeitlich im Fahrzeug verwendet wird. Immerhin könnten die Position des Fahrzeugs verfolgt, die Türen entriegelt und der akustische Alarm ausgelöst werden, sagte Kamkar zu Wired. Er will seine Recherchen auf der Hackerkonferenz Defcon 2015 in Las Vegas im August 2015 präsentieren.

Fahrzeugsoftware im Visier der Hacker

Erst kürzlich wurde ein deutlich gravierenderer Angriff auf Fahrzeugsysteme gemeldet. Über den digitalen Sendestandard DAB können Angreifer Schadcode auf ein Auto übertragen. Danach konnten die IT-Sicherheitsforscher des Computer-Sicherheitsunternehmens NCC Group etwa in die Lenkung eingreifen oder die Bremsen manipulieren. So sei es beispielsweise möglich, über das Infotainment-System den Assistenten auszuschalten, der den Abstand zum vorausfahrenden Auto regelt und bei zu nahem Auffahren automatisch bremst.

Zuvor hatten die Sicherheitsexperten Charlie Miller und Chris Valasek vorgeführt, dass es möglich ist, über das Infotainment-System Uconnect von Fiat-Chrysler die Kontrolle über einen Jeep Cherokee zu übernehmen. Sie konnten während der Fahrt die Lautstärke der Musik verändern, die Scheibenwischer und das Auto abbremsen. Daraufhin hatte der Autobauer Fiat Chrysler Automobiles 1,4 Millionen Modelle der Marken Dodge, Ram und Jeep zurückgerufen. Ein von Uconnect bereitgestelltes Update lässt sich nur direkt über einen USB-Stick einspielen.  (jt)


Verwandte Artikel:
Onstar: GM-Tochter stellt Rückspiegel mit Assistenzsystemen vor   
(05.01.2011, https://glm.io/80496 )
Robotik: Defekter Robonaut kommt zurück zur Erde   
(16.02.2018, https://glm.io/132826 )
Cruise Automation: Motorradfahrer verklagt GM nach Unfall mit autonomem Auto   
(25.01.2018, https://glm.io/132362 )
Autonomes Fahren: GM kündigt lenkradloses Auto für 2019 an   
(12.01.2018, https://glm.io/132149 )
Crossover, Minivans und SUV: GM schwenkt massiv auf weit fahrende Elektroautos um   
(16.11.2017, https://glm.io/131170 )

© 1997–2019 Golem.de, https://www.golem.de/