Können Hacker Ihr Auto WIRKLICH übernehmen?

Werbung

Zubie ist eine kleine Box, die in die angeschlossen wird On-Board-Diagnose (ODBII) Hafen in den meisten modernen Autos gefunden. Hier können Benutzer herausfinden, wie gut sie fahren, und Tipps zur Verlängerung ihrer Kilometerleistung durch vernünftiges und wirtschaftliches Fahren erhalten. Und bis vor kurzem Zubie enthielt einen schwerwiegenden Fehler in der Sicherheit, die Benutzer anfällig für die Entführung ihres Autos aus der Ferne machen könnte.

Das Loch, das von Alumni der Einheit 8200, dem Elite-Cybersicherheitsteam der israelischen Verteidigungsstreitkräfte, entdeckt wurde, könnte möglicherweise dazu führen, dass Angreifer aus der Ferne das Bremsen, Lenken und den Motor stören.

Zubie stellt über eine GPRS-Verbindung eine Verbindung zu einem Remote-Server her, über die gesammelte Daten an einen zentralen Server gesendet und Sicherheitsupdates empfangen werden.

Die Forscher stellten fest, dass das Gerät eine der Hauptsünden der Netzwerksicherheit begeht und nicht über eine verschlüsselte Verbindung mit dem Heimserver kommuniziert. Infolgedessen konnten sie den zentralen Zubie-Server fälschen und speziell gestaltete Malware an das Gerät senden.

Weitere Details zum Angriff finden Sie weiter unten. Sie werden erfreut sein zu erfahren, dass das Problem inzwischen behoben wurde. Es wirft jedoch eine interessante Frage auf. Wie sicher sind unsere Autos?

Fakt von Fiktion trennen

Fahren ist für viele kein Luxus. Es ist eine Notwendigkeit

Und das ist eine gefährliche Notwendigkeit. Die meisten Menschen kennen die Risiken, die mit dem Sitzen am Steuer verbunden sind, nur allzu gut. Autounfälle sind einer der größten Mörder der Welt. Allein im Jahr 2010 kamen 1,24 Millionen Menschen auf der Straße ums Leben.

Die Zahl der Verkehrstoten nimmt jedoch ab, und dies ist hauptsächlich auf die zunehmende Verbreitung hochentwickelter Verkehrssicherheitstechnologien zurückzuführen. Es gibt viel zu viele davon, um sie umfassend aufzulisten, aber das vielleicht am weitesten verbreitete Beispiel ist OnStar, erhältlich in den USA, Kanada und China.

Die Technologie, die ausschließlich in GM-Fahrzeugen sowie in anderen Fahrzeugen von Unternehmen verfügbar ist, die sich für die Lizenzierung der Technologie entschieden haben, überwacht den Gesundheitszustand Ihres Fahrzeugs. Es kann Abbiegehinweise bereitstellen und automatisch Hilfe leisten, falls Sie sich in einem Unfall befinden.

Fast sechs Millionen Menschen abonnieren OnStar. Unzählige mehr nutzen ein Telematiksystem, mit dem Versicherer verfolgen können, wie gut Autos gefahren werden, und Versicherungspakete anpassen können, um vernünftige Fahrer zu belohnen. Justin Dennis hat kürzlich etwas Ähnliches besprochen Metronom von Metromile Verfolgen Sie Ihre Kilometerleistung, Kraftstoffkosten und mehr mit einem kostenlosen OBD2-GerätHeutzutage scheint alles klug zu sein - außer unseren Autos. Dieses kostenlose ODB2-Gerät und diese App ändern dies. Weiterlesen , die für Einwohner von Washington, Oregon, Kalifornien und Illinois frei verfügbar ist. Inzwischen können viele Autos nach 1998 über das abgefragt und überwacht werden ODBII-Diagnoseport dank Android So überwachen Sie die Leistung Ihres Autos mit AndroidDie Überwachung von Tonnen von Informationen über Ihr Auto ist mit Ihrem Android-Gerät unglaublich einfach und kostengünstig - erfahren Sie hier mehr darüber! Weiterlesen und iOS Smartphone Apps.

Da diese Technologien allgegenwärtig sind, ist auch das Bewusstsein vorhanden, dass diese gehackt werden können. Nirgendwo ist das so offensichtlich wie in unserer kulturellen Psyche.

Das 2008 Thriller Untraceable Prominent war ein mit OnStar ausgestattetes Auto zu sehen, das vom Antagonisten des Films „gemauert“ wurde, um jemanden in eine Falle zu locken. Im Jahr 2009 startete das niederländische IT-Unternehmen InfoSupport eine Reihe von Werbespots mit einem fiktiven Hacker genannt Max Cornellise hacken aus der Ferne in Automobilsysteme, einschließlich eines Porsche 911, nur mit seinem Laptop.

Angesichts der großen Unsicherheit in Bezug auf das Thema ist es wichtig zu wissen, was getan werden kann und welche Bedrohungen im Bereich der Science-Fiction verbleiben.

Eine kurze Geschichte des Auto-Hacking?

Außerhalb von Hollywood haben Sicherheitsforscher mit Autos einige ziemlich beängstigende Dinge erreicht.

Im Jahr 2013 Charlie Miller und Chris Valasek zeigte einen Angriff wo sie kompromittiert haben ein Ford Escape und Toyota Prius und schaffte es, die Kontrolle zu übernehmen die Brems- und Lenkmöglichkeiten. Dieser Angriff hatte jedoch einen großen Nachteil, da ein Laptop an das Fahrzeug angeschlossen war. Dies machte Sicherheitsforscher neugierig und fragte sich, ob es möglich war, dasselbe zu erreichen, ohne jedoch physisch an das Auto gebunden zu sein.

Diese Frage wurde ein Jahr später endgültig beantwortet, als Miller und Valasek eine noch detailliertere Studie zur Sicherheit von 24 verschiedenen Automodellen durchführten. Dieses Mal konzentrierten sie sich auf die Fähigkeit eines Angreifers, einen Fernangriff durchzuführen. Ihre umfangreiche Forschung ergab einen 93-seitigen Bericht, der war veröffentlicht auf Scribd zeitgleich mit ihrem Anschlussgespräch auf der Blackhat-Sicherheitskonferenz in Las Vegas.

Es deutete darauf hin, dass unsere Autos nicht so sicher sind wie gedacht, und vielen fehlt der rudimentärste Schutz vor Cybersicherheit. In dem verdammten Bericht wurden der Cadillac Escalade, der Jeep Cherokee und der Infiniti Q50 als am anfälligsten für einen Fernangriff hervorgehoben.

Wenn wir uns den Infinity Q10 ansehen speziellWir sehen einige große Sicherheitslücken.

Was den Infiniti als Auto so überzeugend macht, macht ihn auch so verletzlich. Wie viele High-End-Autos, die in den letzten Jahren hergestellt wurden, verfügt es über eine Reihe von technologischen Merkmalen, die das Fahrerlebnis angenehmer machen sollen. Diese reichen von der schlüssellosen Entriegelung über die drahtlose Reifendrucküberwachung bis hin zu einer Smartphone-App „Personal Assistant“, die mit dem Auto verbunden ist.

Laut Miller und Vlasek sind einige dieser technologischen Merkmale nicht isoliert, sondern direkt mit den Systemen vernetzt, die für die Motorsteuerung und das Bremsen verantwortlich sind. Dies lässt die Möglichkeit offen, dass ein Angreifer Zugriff auf das interne Netzwerk des Fahrzeugs erhält Ausnutzen einer Sicherheitslücke in einem der wesentlichen Systeme, um das System zum Absturz zu bringen oder zu stören Fahrzeug.

Dinge wie das schlüssellose Entsperren und „persönliche Assistenten“ werden schnell als unverzichtbar angesehen Fahrer, aber wie Charlie Miller so deutlich hervorhob: "Es ist ein wenig beängstigend, dass sie alle miteinander sprechen können andere."

Aber wir sind immer noch sehr in der Welt der Theorie. Miller und Vlasek haben einen möglichen Weg für einen Angriff aufgezeigt, aber keinen tatsächlichen Angriff. Gibt es Beispiele dafür, dass es jemandem tatsächlich gelungen ist, die Computersysteme eines Autos zu stören?

Nun, es gibt keinen Mangel an Angriffen, die auf Funktionen zum schlüssellosen Entsperren abzielen. Einer wurde sogar demonstriert früher in diesem Jahr auf der Blackhat-Sicherheitskonferenz in Las Vegas des australischen Sicherheitsforschers Silvio Cesare.

Mit handelsüblichen Werkzeugen im Wert von nur 1000 US-Dollar konnte er das Signal eines Schlüsselanhänger fälschen und so ein Auto aus der Ferne entsperren. Der Angriff beruht darauf, dass jemand physisch in der Nähe des Autos anwesend ist, möglicherweise für einige Stunden Computer und eine Funkantenne senden Versuche, den in die schlüssellose Entriegelung eines Autos eingebauten Empfänger brutal zu erzwingen System.

Sobald das Auto geöffnet wurde, könnte der Angreifer möglicherweise versuchen, es zu stehlen oder sich um unbeaufsichtigte Gegenstände zu kümmern, die der Fahrer zurückgelassen hat. Hier besteht großes Schadenspotential.

Gibt es irgendwelche Verteidigungen?

Kommt darauf an.

Es gibt bereits einen Schutz vor der von Charlie Miller und Chris Valasek entdeckten Sicherheitsanfälligkeit durch Fernzugriff. In den Monaten seit ihrem Blackhat-Gespräch haben sie es getan konnte konstruieren Ein Gerät fungiert als Intrusion Detection System (IDS). Dies stoppt keinen Angriff, sondern zeigt dem Fahrer an, wann ein Angriff ausgeführt werden könnte. Dies kostet in Teilen etwa 150 US-Dollar und erfordert ein wenig Elektronik-Know-how.

Die Zubie-Sicherheitslücke ist etwas kniffliger. Obwohl das Loch inzwischen geflickt wurde, lag die Schwäche nicht im Auto, sondern im angeschlossenen Gerät eines Drittanbieters. Während Autos ihre eigenen architektonischen Unsicherheiten haben, scheint das Hinzufügen zusätzlicher Extras nur die potenziellen Angriffsmöglichkeiten zu erhöhen.

Vielleicht der einzige Weg zu sein wirklich Sicher ist es, ein altes Auto zu fahren. Eine, der es an den hoch entwickelten Schnickschnack moderner High-End-Autos mangelt und die dem Drang widersteht, Dinge in Ihren ODBII-Port zu schieben. Einfachheit liegt in der Sicherheit.

Ist es sicher, mein Auto zu fahren?

Sicherheit ist ein evolutionärer Prozess.

Wenn die Menschen die Bedrohungen, die ein System umgeben, besser verstehen, entwickelt sich das System weiter, um sich vor ihnen zu schützen. Aber die Autowelt hat es noch nicht ganz geschafft Neurose Schlimmer als Herzblut? Lernen Sie ShellShock kennen: Eine neue Sicherheitsbedrohung für OS X und Linux Weiterlesen oder Herzblut Herzbluten - Was können Sie tun, um sicher zu bleiben? Weiterlesen . Ich stelle mir vor, dass es, wenn es seine erste kritische Bedrohung erlebt hat - wenn Sie so wollen, der erste Nulltag ist - Die Automobilhersteller werden angemessen reagieren und Maßnahmen ergreifen, um die Fahrzeugsicherheit ein wenig zu verbessern streng.

Aber was denkst du? Ist das ein bisschen optimistisch? Befürchten Sie, dass Hacker Ihr Auto übernehmen? Ich möchte davon hören. Schreiben Sie mir unten einen Kommentar.

Bildnachweis: BangkokHappiness (Shutterstock), DmitriMaruta (ShutterStock), Teddy Leung / Shutterstock.com