Uconnect-Sicherheitslücke

Softwareupdate für 1,4 Millionen Autos

Jeep Cherokee US-Version Foto: Jeep 7 Bilder

In den USA ist es zwei Hackern gelungen, sich über das Internet Zugang zu einem Jeep Cherokee zu verschaffen und wesentliche Fahrzeugfunktionen fernzusteuern. FCA reagiert mit einem Softwareupdate.

Die Sicherheitsexperten Charlie Miller und Chris Valasek haben zum Kapern des Jeeps eine Sicherheitslücke im Infotainmentsystem UConnect genutzt. Zugriff auf das Fahrzeug erlangten die Hacker über die IP-Adresse des Infotainmentsystems. Dann installierten sie eine selbst entwickelte Software und konnten so einige Funktionen des Fahrzeug von außen über das Internet steuern. Der Übernahmeversuch wurde zusammen mit dem US-Technikmagazin "Wired" unternommen.

Lenken und bremsen per Fernsteuerung

Manipuliert werden konnten unter anderem die Klimaanlage, das Radio, das Getriebe, die Scheibenwischer sowie die Zentralverriegelung. Zudem waren Miller und Valasek in der Lage den Motor abzustellen, die Bremse auszuschalten und die Lenkung zu übernehmen.

Miller und Valasek wollen Teile ihres Software-Codes bei der Hacker-Konferenz "Black Hat“ im August 2015 in Las Vegas veröffentlichen. Zudem werden die Ergebnisse ihrer Tests mit den Autoherstellern geteilt. Es gibt Indizien, dass die Anbindung des UConnect-Systems an den allgemeinen Fahrzeug-CAN-Bus, über den alle Informationen und Steuersignale laufen, das Einfallstor für die Hacker war. Hierzu mussten sie lediglich in den Besitz der sogenannten IP-Adresse des Datenmoduls kommen, mit dem das System über Mobilfunk den Internet-Zugang herstellt.

Fiat-Chrysler hat mittlerweile reagiert und bietet für insgesamt 1,4 Millionen Modelle ein Softwareupdate an, das die Sicherheitslücke schließen soll, das Update kann in den USA direkt über eine UConnect-Serviceseite heruntergeladen werden. Gerüchteweise soll durch das Update die Vernetzung des UConnect-Systems über den CAN-Bus eingeschränkt werden, Hacker könnten demnach nur noch Funktionen manipulieren, die direkt über das UConnect-System gesteuert werden – also beispielsweise den Radioempfang oder die Klimasteuerung. Das Softwareupdate steht bereit für die Modelle Viper, Ram-Pickups, Jeep Cherokee und Grand Cherokee, Dodge Durango, Chrysler 200 und 300 sowie Dodge Challenger. Generell wird das UConnect-Entertainment-System konzernweit in Fahrzeugen von Fiat-Chrysler eingesetzt.

Deutsche Modelle angeblich nicht betroffen

Wie wir aus Konzernkreisen erfahren konnten, betrifft der geschilderte Hack keine Modelle von Fiat-Chrysler, die bis heute in Deutschland ausgeliefert wurden. Der Grund: hier wurde das internetfähige UConnect Live bislang nicht angeboten.

Der Fall wirft indes ein Schlaglicht auf eine gewisse Sorglosigkeit, mit der Hersteller die Internet-Anbindung ihrer Pkw vorantreiben. Denn Miller und Valasek sind auf diesem Gebiet keine Anfänger: bereits 2013 demonstrierten Sie an einem Toyota Prius und einem Ford Escape, wie sie sicherheitskritische Funktionen von der Lenkung bis zur Fahrzeugbremse manipulieren können. Der Unterschied: damals benötigten sie noch physischen Zugriff auf den jeweiligen Wagen, um sich über das Diagnosesystem in die Bordelektronik einklinken zu können. Mit den zunehmend verbreiteten internetfähigen Fahrzeugen scheint dieser manuelle Einbruch nicht mehr nötig zu sein, es genügt ein Laptop und die IP-Adresse des im Auto verbauten GSM-Moduls.

Bedenken könnte auch eine Anfang des Jahres beschlossene EU-Vorgabe wecken. Diese schreibt vor, dass ab 2018 jeder in der EU neu zugelassene Pkw über das automatische Notrufsystem eCall verfügen muss. Das, der Name verrät es, bedeutet für jeden Neuwagen ein installiertes GSM-Modul mit mobilem Datenzugang. Bereits heute sind zahlreiche Modelle diverser Hersteller mit diesem System auf unseren Straßen unterwegs. Wenig beruhigend ist auch eine andere Tatsache: Das Car-Hacking-Projekt von Miller und Valasek wird von der DARPA finanziert, also vom US-Verteidigungsministerium.

Neues Heft
Top Aktuell Chrysler Pacifica Hybrid Waymo autonomes Fahren Umgang mit autonomen Autos Waymo veröffentlicht Leitfaden
Beliebte Artikel Connected Drive, Online-Funktionen, Fernbedienung Sicherheitslücke bei BMW ConnectedDrive Über 420.000 Autos konnten geöffnet werden Bei der 22. Def Con suchte Tesla nach Hackern, die Sicherheitslücken im Model S ausfindig machen können. IT-Sicherheitskonferenz Def Con Tesla wirbt um Hacker
Gebrauchtwagen Angebote
Anzeige
Sportwagen Essen Motor Show Teaser 2018 Essen Motor Show 2018 PS-Festival in Essen Toyota Supra Toyota GR Supra (2019) Einblicke in Japan-Sportwagen
Allrad 10/2018, Hennessey Ford F-150 Heritage Hennessey Ford F-150 Heritage Pick-up im Rennsport-Outfit Mitsubishi L200 2019 Teaser Mitsubishi L200 Facelift 2019 Neuer Style für Japan-Pickup
Oldtimer & Youngtimer Auktion Oldtimer Galerie Toffen 20.10.2018 Oldtimer Auktion Toffen 2018 Schwache Herbst-Versteigerung Opel Kapitän, Modell 1956, Frontansicht 80 Jahre Opel Kapitän Der große Opel