Ein IT-Sicherheitsexperte aus den USA hat bei diversen Autoherstellern sensible Sicherheitslecks entdeckt und offengelegt. Darüber können sich Angreifer nicht nur Daten besorgen, sondern im Einzelfall sogar Kontrolle über die PKW verschaffen. Über die Hintergründe.
In modernen Autos sorgen Computer nicht nur für ein angenehmes Entertainment-Programm, berechnen Fahrtouten und präsentieren jede Menge Daten über das Fahrverhalten, sondern steuern jede Menge Motoren (vom Fahrersitz bis zur Klimaanlage), werten Daten von Sensoren aus und sorgen für einen reibungslosen Ablauf und Fahrkomfort.
Software ist für Autohersteller immer wichtiger: In Elektroautos sowieso, aber auch in allen anderen. Ein Grund, wieso Autohersteller mittlerweile auf der Digitalmesse „Consumer Electronics Show“ (CES) vertreten sind.
Zunehmende Digitalisierung ein Sicherheitsproblem
So praktisch und angenehm das alles sein kann: Die Digitalisierung der Autos birgt auch reichlich Risiken.
Der IT-Sicherheitsexperte Sam Curry hat in den vergangenen Wochen mit seinem Team die Systeme diverser Autohersteller unter die Lupe genommen – darunter BMW, Mercedes Benz, Ford, Ferrari, Porsche und Toyota –, und bei fast allen erhebliche Sicherheitslecks entdeckt.
Angefangen hat alles damit, dass sich Curry – quasi aus Spaß – in die Apps von E-Scootern gehackt und massenweise Beleuchtung von Hupe der umstrittenen Roller aktiviert hat. Weil das so einfach gelang, fragt sich Curry, wie es um die Sicherheit der prinzipiell genauso arbeitenden PKW bestellt ist.
Sicherheitslücken: Vereinzelt komplette Fernsteuerung möglich
Das Ergebnis: Curry und sein Team konnten bei mehreren Automarken die komplette Kontrolle übernehmen. Modelle von unter anderem Kia, Honda, Hyundai und Nissan ließen sich per gehackter Fernsteuerung entriegeln und der Motor starten. Auch ein Abschalten eines aktiven Motors war möglich.
Dazu ist nach Angaben der US-Forscher lediglich die Fahrzeug-Identifikationsnummer (FIN) notwendig, die anschließend in einer HTTP-Anfrage (wie beim Surfen im Netz per Browser) an den offiziellen Endpoint der Schnittstelle (API) des Herstellers zu schicken. Bei vielen Modellen lässt sich diese Nummer durch die Windschutzscheibe ablesen.
Die Attacken gehen auf Schwachstellen in der SiriusXM-Plattform zurück, die weltweit bei rund zwölf Millionen vernetzten Autos zum Einsatz kommen soll.
Unsicher: Standort- und Nutzerdaten abgerufen
Bei BMW und Rolls-Royce war eine solche Fernsteuerung zwar nicht möglich, trotzdem konnten sich die Experten bedenklich viele Daten über die Fahrzeughalter besorgen. Eine Sicherheitslücke ermöglichte Curry und seinen Mitstreitern, sich alle BMW-Nutzerkonten anzeigen zu lassen. Sie konnten sich auch Zugriff auf das interne Händlerportal verschaffen.
Bei Merces-Benz konnten sich die IT-Experten Zugang zu internen Chats und Dokumentationen verschaffen, unter anderem auch zu dem System „Mercedes Me“ – die offizielle App, mit der Kunden ihr Fahrzeug öffnen, klimatisieren oder auch überwachen können. Bei Porsche ist es gelungen, den jeweils aktuellen Standort abzurufen und Befehle ans Fahrzeug zu senden.
Aufgrund diverser Schwachstellen in den IT-Systemen konnten sich die Experten über vergleichsweise simple Anfragen Zugang zu Accounts von BMW-Mitarbeitern verschaffen, diese übernehmen und sich so Zugriff verschaffen. In Web-Portalen von Mercedes und Rolls-Royce hingegen konnten die Forscher sogar eigenen Programmcode ausführen – und hatten Zugriff auf zahlreiche interne Tools, die weiteren Zugriff ermöglichten.
Unsicher: Standort- und Nutzerdaten abgerufen
Sicherheitsforscher Curry hat alle Autohersteller mit seinen Erkenntnissen versorgt, damit diese die Sicherheitslücken abstellen können. Ob die bereits Schwachstellen geschlossen haben, geht aus dem Bericht der Sicherheitsforscher nicht explizit hervor.