Informatik

Sicherheitslücke im Auto aufgedeckt

Prototyp-Software bietet Hackern Zugriffsmöglichkeiten auf Fahrzeugfunktionen

Bei dieser Hardware-Konfiguration, ist ein Android Smartphone mit der Kopfeinheit des Fahrzeugs verbunden. © Damon McCoy

Gefährliche Vernetzung: Ein versteckt im Auto eingebaute Software birgt Sicherheitsrisiken. Diese Lücken könnten Hacker nutzen, um Fahrzeuge fernzusteuern. Angriffspunkt ist ein Programm, das Hersteller einbauen, um das Handy mit dem Fahrzeug zu koppeln. Diese meist deaktivierte Software, kann einfach aktiviert werden und so Zugang zum Zentralcomputer gewähren, wie ein Experiment demonstriert.

Seit einiger Zeit entwickelt sich ein Trend in der Automobilindustrie: In Fahrzeugen wird vermehrt Software verbaut, die auf das Internet zugreift. Ein gängiges System ist Mirror Link, ein Regelsystem, das dazu dient Smartphones mit den sogenannten In-Vehicle-Infotainment Systemen (IVI) zu verbinden. Dadurch können Fahrer ihre Soundanlage, Navigationsgeräte und Ähnliches einfacher mit dem Handy verbinden und steuern.

Versteckte Software

Mirror Link wurde von einem Konsortium entwickelt, dem 80 Prozent der Automobilhersteller angehören. Diese Software wird bisher zwar in die Fahrzeugcomputer eingebaut, aber von vielen Herstellern deaktiviert, weil sie entweder ein anderes System nutzen, um die Geräte mit dem Smartphone zu verbinden, oder weil sie nur einen Prototyp verbaut haben, der später erst aktiviert werden soll.

Damon McCoy von der New York University und sein Team haben nun getestet, wie schnell die diese im Autocomputer versteckte Software von außen aktiviert werden kann – um so Zugang zum Zentralcomputer und beispielsweise zum Navigationsgerät zu erhalten

Mirror Link erlaubt es dem Fahrer, seine Smartphone-Apps zu kontrollieren. © Damon McCoy

Hacken für Anfänger

Um die Sicherheit der Systeme zu überprüfen, hackte sich das Team um McCoy nur mit Hilfe eines Handys und einer App in das Regelsystem Mirror Link ein. Sie beschafften sich dazu ein Auto des Baujahres 2015, das sie für die Experimente nutzten. In diesem Modell war Mirror Link von Seiten des Herstellers deaktiviert.

Die Forscher nutzen als Hilfe zur Aktivierung lediglich Anleitungen, die im Internet öffentlich zugänglich sind. “Es gibt dort viele öffentlich zugängliche Instruktionen, wie man Mirror Link freischalten kann“, erklärt McCoy. „Allein eines der Anleitungsvideos auf Youtube wurde schon mehr als 60.000 Mal angesehen.“

Auf Basis dieser Informationen kreierten McCoy und sein Team eine App, die auf Mirror Link zugreift, um zu testen, ob Sicherheitslücken bestehen.

„Zugang zum, Zentralsystem“

Und tatsächlich: Den Forschern gelang es ohne Probleme, Mirror Link mit ihrer App zu aktivieren. War diese Software erst einmal aktiviert, ist das laut McCoy ein Sprungbrett für die Hacker, um ein Auto zu kontrollieren. „Im einfachsten Falle lassen sich so die Angaben des Navigationsgeräts manipulieren“, erklären die Forscher. Gelingt es jedoch, weitere Sicherheitsmaßnahmen zu überwinden, könnten auch sicherheitsrelevante Funktionen, wie zum Beispiel das Antiblockiersystem des Fahrzeugs, behindert werden.

Nach Ansicht der Forscher demonstriert ihr Versuch, dass auch Laien die Software im Auto aktivieren können. Möglich machen das unter anderem die allgemein zugänglichen Anleitungen im Internet. McCoy sagt auch, dass „Tuner – also Menschen oder Unternehmen, die Autos umbauen, eventuell unwissentlich Hacker motivieren, indem sie die unsicheren Funktionen frei schalten“.

Studie soll Autohersteller wachrütteln

Auf Anfrage lehnte es der Autohersteller des Testfahrzeugs ab, seine Sicherheitsstrategie zu veröffentlichen. Dies begründete er damit, dass er Mirror Link nicht der Öffentlichkeit freigegeben hatte. Die Forscher hoffen jedoch, dass ihre Ergebnisse die Problematik öffentlich machen. Ihre Studie soll zeigen, dass Fahrer potentiell unsichere Systeme trotzdem aktivieren, bevor es überhaupt IVI Protokolle gibt und beispielsweise Mirror Link ausgereift und sicher ist.

(NYU Tandon School of Engineering, 05.09.2016 – HDI)

Keine Meldungen mehr verpassen – mit unserem wöchentlichen Newsletter.
Teilen:

In den Schlagzeilen

News des Tages

Skelett eines ungeborenee Kindes

So entstehen die Knochen des ungeborenen Kindes

Astronomen entdecken jüngsten Transit-Planet

Mehr Blackouts durch Wind- und Sonnenstrom?

Parkinson: Wenn mehr Dopamin mehr Zittern bedeutet

Diaschauen zum Thema

keine Diaschauen verknüpft

Dossiers zum Thema

CeBIT 2014 - Trends und Neuheiten in der Welt der IT

Bücher zum Thema

Expedition Zukunft - Wie Wissenschaft und Technik unser Leben verändern von Nadja Pernat

Die Wunder maschine - Die unendliche Geschichte der Daten- verarbeitung von Herbert Matis

Projekt Zukunft - Die Megatrends in Wissenschaft und Technik von Hans-Jürgen Warnecke

Top-Clicks der Woche