Können Hacker wirklich Ihr Auto übernehmen?
Zubie ist eine kleine Box, die in den On-Board-Diagnose-Port (ODBII) der meisten modernen Autos eingesteckt wird. Benutzer können herausfinden, wie gut sie fahren, und sie erhalten Tipps, wie Sie mit vernünftigem und sparsamem Fahren ihre Laufleistung verlängern können. Bis vor kurzem gab es bei Zubie eine erhebliche Sicherheitslücke, durch die Benutzer anfällig für die Entführung ihres Autos sein könnten.
Das Loch, das von den Absolventen von Unit 8200, dem Elite-Cybersecurity-Team der israelischen Verteidigungskräfte, entdeckt wurde, könnte Angreifer möglicherweise dazu bringen, das Bremsen, Lenken und den Motor aus der Ferne zu beeinflussen.
Zubie stellt über eine GPRS-Verbindung eine Verbindung zu einem Remote-Server her, über den die gesammelten Daten an einen zentralen Server gesendet und Sicherheitsupdates abgerufen werden.
Die Forscher stellten fest, dass das Gerät eine der Hauptsünden der Netzwerksicherheit begangen hat und nicht über eine verschlüsselte Verbindung mit dem Heimserver kommuniziert. Dadurch konnten sie den zentralen Zubie-Server fälschen und speziell gestaltete Malware an das Gerät senden.
Weitere Details zum Angriff finden Sie unten. Sie werden erfreut sein, dass das Problem inzwischen behoben wurde. Es wirft jedoch eine interessante Frage auf. Wie sicher sind unsere Autos??
Fakten von Fiktion trennen
Autofahren ist für viele kein Luxus. Es ist eine Notwendigkeit
Und das ist eine gefährliche Notwendigkeit. Die meisten Menschen kennen die Risiken, die mit dem Steuer am Steuer verbunden sind, nur zu gut. Autounfälle sind einer der weltweit größten Mörder, allein im Jahr 2010 wurden 1,24 Millionen Menschenleben auf der Straße verloren.
Aber die Zahl der Verkehrstoten sinkt, und das liegt zum großen Teil an der zunehmenden Verbreitung anspruchsvoller Verkehrssicherheitstechnologien. Es gibt viel zu viele für eine umfassende Auflistung, aber das häufigste Beispiel ist OnStar, das in den USA, Kanada und China erhältlich ist.
Die Technologie - die ausschließlich in GM-Fahrzeugen erhältlich ist, sowie andere Fahrzeuge von Unternehmen, die sich für eine Lizenzierung der Technologie entschieden haben - überwacht die Gesundheit Ihres Autos. Es kann Abbiegehinweise bereitstellen und kann automatisch Hilfe leisten, wenn Sie sich nicht in einen Unfall begeben.
Fast sechs Millionen Menschen abonnieren OnStar. Unzählige mehr nutzen ein Telematiksystem, mit dem Versicherer die Fahrleistungen von Autos nachverfolgen und Versicherungspakete anpassen können, um vernünftige Fahrer zu belohnen. Justin Dennis hat kürzlich ein ähnliches Produkt namens Metronome by Metromile überprüft. Verfolgen Sie Ihre Kilometer, Kraftstoffkosten und mehr mit einem kostenlosen OBD2-Gerät. Verfolgen Sie Ihre Kilometer, Kraftstoffkosten und mehr mit einem kostenlosen OBD2-Gerät. Dieses kostenlose ODB2-Gerät und diese App ändern das. Lesen Sie mehr, das für Einwohner von Washington, Oregon, Kalifornien und Illinois frei verfügbar ist. Inzwischen können viele Autos nach 1998 über den ODBII-Diagnoseport abgefragt und überwacht werden. Dank Android Wie überwachen Sie die Leistung Ihres Autos mit Android? Wie überwachen Sie die Leistung Ihres Autos? Mit Android Die Überwachung von Informationen zu Ihrem Auto ist unglaublich einfach und kostengünstig für Ihr Android Gerät - hier erfahren Sie mehr darüber! Lesen Sie mehr und iOS Smartphone-Apps.
Da diese Technologien allgegenwärtig sind, hat das Bewusstsein, dass diese gehackt werden können. Nirgendwo ist das deutlicher als in unserer kulturellen Psyche.
Der 2008er Thriller Untraceable präsentierte prominent ein von OnStar ausgestattetes Auto, das vom Gegner des Films "gemauert" wurde, um jemanden in eine Falle zu locken. 2009 startete das niederländische IT-Unternehmen InfoSupport eine Reihe von Werbespots, in denen ein fiktiver Hacker namens Max Cornellise aus der Ferne in Autosysteme einschloss, darunter ein Porsche 911, der nur seinen Laptop verwendete.
Bei so viel Unsicherheit im Zusammenhang mit dem Thema ist es daher wichtig zu wissen, was getan werden kann und welche Bedrohungen im Bereich der Science Fiction bestehen.
Eine kurze Geschichte des Autohacks?
Außerhalb Hollywoods haben Sicherheitsforscher mit Autos ziemlich gruselige Dinge vollbracht.
Im Jahr 2013 demonstrierten Charlie Miller und Chris Valasek einen Angriff, bei dem sie einen Ford Escape und einen Toyota Prius kompromittierten und die Brems- und Lenkanlage beherrschten. Dieser Angriff hatte jedoch einen großen Nachteil, da ein Laptop an das Fahrzeug angeschlossen war. Die Sicherheitsforscher waren neugierig und fragten sich, ob es möglich war, dasselbe zu erreichen, ohne jedoch physisch an das Auto gebunden zu sein.
Diese Frage wurde ein Jahr später abschließend beantwortet, als Miller und Valasek eine noch detailliertere Studie zur Sicherheit von 24 verschiedenen Fahrzeugmodellen durchführten. Dieses Mal konzentrierten sie sich auf die Fähigkeit eines Angreifers, einen Fernangriff durchzuführen. Ihre umfangreiche Recherche führte zu einem 93-seitigen Bericht, der auf Scribd veröffentlicht wurde, um mit ihrem anschließenden Vortrag auf der Blackhat-Sicherheitskonferenz in Las Vegas zusammenzufallen.
Es deutete an, dass unsere Autos nicht so sicher sind, wie man es sich vorgestellt hat, und vielen fehlt der einfachste Schutz vor Cyber-Sicherheit. In dem Bericht wurden der Cadillac Escalade, der Jeep Cherokee und der Infiniti Q50 als am anfälligsten für einen Fernangriff hervorgehoben.
Wenn wir uns den Infinity Q10 speziell anschauen, sehen wir einige große Sicherheitslücken.
Was den Infiniti als Auto so attraktiv macht, macht ihn auch so verwundbar. Wie viele in den letzten Jahren produzierte High-End-Fahrzeuge verfügt er über eine Reihe technologischer Features, die das Fahrerlebnis angenehmer machen. Diese reichen von der schlüssellosen Entriegelung über die drahtlose Reifendrucküberwachung bis hin zur Smartphone-App „Personal Assistant“, die eine Schnittstelle zum Fahrzeug herstellt.
Laut Miller und Vlasek sind einige dieser technologischen Merkmale nicht isoliert, sondern direkt mit den Systemen vernetzt, die für die Motorsteuerung und das Bremsen verantwortlich sind. Dies lässt die Möglichkeit offen, dass ein Angreifer Zugriff auf das interne Netzwerk des Fahrzeugs erhält und dann eine Sicherheitsanfälligkeit ausnutzt, die sich in einem der essentiellen Systeme befindet, um abstürzen zu können oder das Fahrzeug zu stören.
Dinge wie das schlüssellose Entriegeln und "persönliche Assistenten" werden schnell als unverzichtbar für die Fahrer angesehen, aber wie Charlie Miller so hervorgehoben hat, “Es ist ein bisschen unheimlich, dass sie alle miteinander reden können.”
Aber wir sind immer noch sehr in der Welt des Theoretischen. Miller und Vlasek haben einen potenziellen Weg für einen Angriff gezeigt, aber keinen wirklichen Angriff. Gibt es Beispiele dafür, dass jemand tatsächlich die Computersysteme eines Autos behindert hat??
An Angriffen, die auf schlüssellose Entriegelungsfunktionen abzielen, gibt es keinen Mangel. Auf der Blackhat-Sicherheitskonferenz in Las Vegas wurde der australische Sicherheitsforscher Silvio Cesare sogar bereits in diesem Jahr vorgeführt.
Mit handelsüblichen Werkzeugen im Wert von nur 1.000 US-Dollar konnte er das Signal eines Schlüsselanhängers spoofen und so ein Auto aus der Ferne freischalten. Der Angriff beruht darauf, dass sich jemand physisch in der Nähe des Autos aufhält, möglicherweise für einige Stunden, während ein Computer und eine Radioantenne Versuche machen, den in das schlüssellose Entriegelungssystem eines Autos eingebauten Empfänger brutal zu erzwingen.
Nachdem das Auto geöffnet wurde, könnte der Angreifer möglicherweise versuchen, es zu stehlen, oder sich selbst unbeaufsichtigten Gegenständen bedienen, die der Fahrer zurückgelassen hat. Hier gibt es viel Potenzial für Schäden.
Gibt es irgendwelche Abwehrmechanismen??
Kommt darauf an.
Es gibt bereits eine Art Schutz vor der Remotezugriffslücke, die von Charlie Miller und Chris Valasek entdeckt wurde. In den Monaten seit ihrem Blackhat-Gespräch war es ihnen möglich, ein Gerät zu konstruieren, das als Intrusion Detection System (IDS) fungiert. Dies stoppt keinen Angriff, sondern zeigt dem Fahrer an, wann ein Angriff ausgeführt wird. Dies kostet in Teilen etwa 150 US-Dollar und erfordert etwas Elektronik-Know-how.
Die Sicherheitslücke in Zubie ist etwas schwieriger. Obwohl das Loch inzwischen geflickt wurde, lag die Schwäche nicht im Auto, sondern im Gerät des Drittanbieters. Autos haben zwar ihre eigenen architektonischen Unsicherheiten, aber es scheint, dass das Hinzufügen zusätzlicher Extras nur die potenziellen Möglichkeiten für einen Angriff erhöht.
Vielleicht der einzige Weg zu sein wirklich Sicher ist ein altes Auto zu fahren. Einer, dem die hoch entwickelten Glocken der modernen High-End-Autos fehlen und dem Drang widerstehen, Dinge in Ihren ODBII-Port zu stecken. Es gibt Sicherheit in der Einfachheit.
Ist es sicher, mein Auto zu fahren??
Sicherheit ist ein evolutionärer Prozess.
Wenn die Menschen ein besseres Verständnis für die Bedrohungen erhalten, die ein System umgeben, entwickelt sich das System zum Schutz vor ihnen. Aber die Autowelt hat ihre ShellShock noch nicht schlimmer als Herzblase gehabt? Treffen Sie ShellShock: Eine neue Sicherheitsbedrohung für OS X und Linux, die schlimmer als Herzblut sind? Treffen Sie ShellShock: Eine neue Sicherheitsbedrohung für OS X und Linux Lesen Sie weiter oder HeartBleed Heartbleed - Was können Sie tun, um sicher zu bleiben? Heartbleed - Was können Sie tun, um sicher zu bleiben? Weiterlesen . Ich stelle mir vor, dass die Automobilhersteller, wenn sie ihre erste kritische Bedrohung erlebt haben - wenn es so ist - der erste Nulltag ist, entsprechend reagieren und Schritte unternehmen, um die Fahrzeugsicherheit etwas strenger zu gestalten.
Aber was denkst du?? Ist das ein bisschen optimistisch? Haben Sie Angst, dass Hacker Ihr Auto übernehmen? Ich möchte davon hören. Schreiben Sie mir unten einen Kommentar.
Bildnachweise: BangkokHappiness (Shutterstock), DmitriMaruta (ShutterStock), Teddy Leung / Shutterstock.com
Mehr erfahren über: OBD-II.