Geben Fahrzeuge zu viele Informationen preis?

Originalbeitrag von Rainer Link, Senior Threat Researcher

Das Hacking von Fahrzeugen ist eine Realität, mit der sich die Menschen beschäftigen werden müssen. Wenn Fremde die Kontrolle über ein Auto übernehmen, während der Besitzer damit unterwegs ist, kann das brandgefährlich sein. Letzte Woche führten Valasek and Miller einen digitalen Fahrzeug-Hack vor und setzten dafür 3G-Konnektivität für das Infotainment-System eines Jeep Cherokee ein. Damit zeigten sie, dass eine solche Situation lebensgefährlich sein kann. Die Entdeckung des Fehlers führte dazu, dass 1,4 Millionen Fahrzeuge zurückgerufen wurden. Ein ähnlicher Hack – doch diesmal abseits der Straße – wurde ein paar Tage später gezeigt, diesmal über Digital Audio Broadcasting (DAB)-Übertragung.

Die Erkenntnisse der letzten Woche waren nicht die ersten hinsichtlich der Sicherheit von Fahrzeugen. In diesem Jahr hatte der deutsche Sicherheitsspezialist Dieter Spaar bereits Sicherheitslücken in BMW ConnectedDrive entdeckt. Auch Trend Micros Sicherheitsforscher haben diesen Bereich im Visier.

Hohe Visibilität kann auch hohes Risiko bedeuten

Derzeit erforscht das Team das SmartGate System, das Škoda Auto in die Fabia II-Modelle eingeführt hat. Das System erlaubt es dem Besitzer, ein Smartphone mit dem Auto zu verbinden, um Daten wie Geschwindigkeit, durchschnittlicher Spritverbrauch, Termin für Ölwechsel oder Wartung anzuzeigen. Der tschechische Autobauer Škoda Auto ist eine Tochter der Volkswagen Gruppe.

Bild 1. Bildschirm des Škoda SmartGate

Trend Micros Forschung zeigte, dass jeder Angreifer mehr als 20 Parameter, ähnlich denen im Bild, lesen und sogar den Fahrzeughalter aus dem SmartGate System aussperren kann. Dafür muss er sich lediglich innerhalb der WLAN-Reichweite von SmartGate aufhalten, das WLAN des Fahrzeugs finden und das Passwort knacken (ist ziemlich schwach). Innerhalb der WLAN-Reichweite zu bleiben, ist nicht so schwierig. Der Angreifer muss sich innerhalb einer Entfernung von bis zu 50 Fuss vom Auto aufhalten, um noch innerhalb dieser Reichweite zu bleiben. Nutzt der Angreifer eine Hochleistungsantenne, so kann die Distanz sogar noch größer sein.

In einem Praxistest konnten die Sicherheitsforscher sogar dann ins WLAN einbrechen, als sie hinter dem Zielvehikel herfuhren. Die beiden Autos bewegten sich mit etwa 30 bis 40 kmh. Mittlerweile funktioniert das Lesen der Autodaten bei Geschwindigkeiten von bis zu 120 kmh. Aus Sicherheitsgründen wurden höhere Geschwindigkeiten nicht getestet.

Auch erleichtert es Wi-Fi Direct einem Angreifer, die PIN herauszufinden. In den neuen Fahrzeugen oder in aktualisierten Modellen unterstützt SmartGate Firmware Wi-Fi Direct. Man mag argumentieren, dass all dies eher eine Sache der Vertraulichkeit als der Sicherheit sei. Das heißt, Angreifer können den Motor nicht stoppen, den Benzintank sprengen oder ähnliches mehr. Doch anders als die in den Nachrichten dargestellten Angriffe, die eine IP-Adresse des Autos erfordern (eine ziemlich schwierige Aufgabe), gibt es beim Škoda SmartGate-Sicherheitsproblem geringere Hürden zu überwinden: Es bedarf lediglich der VIN (Vehicle Identification Number), und die steht häufig im Klartext auf dem Dashboard des Autos.

Ein Angreifer könnte auch Ziele stalken, indem er die gestohlenen Informationen nutzt. Er muss abwarten, bis der Fahrer den Motor startet, und sobald das WLAN steht, kann er das SmartGate-Gerätepasswort abgreifen, die WLAN-Einstellungen ändern und den Fahrer im Grunde genommen aussperren. Dann wartet er auf ihn irgendwo, wissend, dass dieser zu seinem Händler gehen muss, um die Einstellungen zurücksetzen zu lassen.

Škoda Fabia-Besitzer und –Hersteller müssen jetzt handeln

Auch fanden die Sicherheitsforscher heraus, dass neuere Versionen von SmartGate Wi-Fi Direct unterstützen, auch Wi-Fi P2P genannt. Dieses System bringt Angreifern ungeahnte Vorteile, denn das System benötigt kein Smartphone des Besitzers, um sich zu verbinden, und ist zudem leicht zu knacken.

Derzeit empfiehlt Trend Micro allen Besitzern eines Škoda, der SmartGate unterstützt (in Deutschland ist es Fabia, Octavia, Rapid, Yeti und Superb), folgendes zu unternehmen:

  1. Ändern der WLAN-Übertragungsstärke (Wi-Fi TX) auf 10% (sehr empfehlenswert)
  2. Ändern des WLAN-Passworts und Ändern der Wi-Fi Direct PIN (falls Wi-Fi Direct unterstützt wird).
  3. Ändern des Namens des WLAN-Netzwerks

SmartGate wird derzeit in weiteren Škoda-Modellen eingeführt, sodass es höchste Zeit ist, dass der Hersteller auch aktiv wird. Folgende Bereiche sollten überdacht werden:

  1. Überlegen, Wi-Fi TX-Stärke standardmäßig über ein Firmware Update auf 10% zu setzen.
  2. Dringende Empfehlung im Fahrzeug-Handbuch zur Änderung des Passworts und der PIN.
  3. Design eines “An/Aus”-Schalters für SmartGate.

SmartGate (WLAN) ist nur an, wenn der Motor läuft. Doch manchmal benötigt der Fahrer die SmartGate-Funktionalität nicht. Zugegeben, es gibt einen Workaround – das Kabel des SmartGate-Geräts kann gezogen werden; es befindet sich unter dem Fahrersitz. Doch ist das nicht der bequeme Weg, vor allem nicht für diejenigen, die gelegentlich SmartGate nutzen wollen. Es sollte entweder einen physischen An/Aus-Schalter geben, oder eine Möglichkeit, einfach SmartGate in dem Autoeinstellungen ab- und einzuschalten.

Regierungen und andere Institutionen haben über die Jahre viel in die Straßensicherheit investiert. Dabei wurde die Wirkung von physischen Komponenten auf die physische Sicherheit geprüft. Mit der Integration von smarten Geräten in den Alltag, sollte in die Diskussion über Sicherheit auch die Wirkung von digitalen Komponenten mit einfließen. Das Internet of Everything oder IoE mag derzeit ein Schlagwort sein, doch es ist bereits da und kann gefährliche Konsequenzen haben, wird die Sicherheit nicht mit eingebaut.

Alle Tests wurden mit einem Škoda Fabia III durchgeführt, SmartGate HW Version 0004, SmartGate SW Version 0884 und SW Version 0928. Zum Zeitpunkt dieses Beitrags war SW Version 0928 die neueste.

Trend Micro bemüht sich im angemessenen Umfang um die Bereitstellung genauer und aktueller Informationen in diesem Blog-Eintrag, übernimmt jedoch hinsichtlich Genauigkeit, Aktualität und Vollständigkeit keine Haftung und macht diesbezüglich keine Zusicherungen. Die in diesem Blog-Eintrag bereitgestellten Informationen sind lediglich allgemeiner Natur und für Aufklärungszwecke gedacht. Sie stellen keine praktischen Anweisungen oder Rechtsberatung dar und sind nicht als solche auszulegen. Ohne praktische Anweisungen oder eine Rechtsberatung auf Grundlage der vorgestellten besonderen Fakten und Umstände sind die Inhalte in diesem Blog-Eintrag nicht als verlässlich oder als Handlungsanweisungen zu verstehen und nicht in anderer Weise auszulegen. Trend Micro behält sich das Recht vor, die Inhalte dieses Blog-Eintrags zu jeder Zeit und ohne Vorankündigung zu ändern. Die Genauigkeit der Übersetzung wird weder garantiert noch stillschweigend zugesichert. Trend Micro übernimmt keine Gewährleistung, weder ausdrücklich noch stillschweigend.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.