Uconnect-Sicherheitslücke

Softwareupdate für 1,4 Millionen Autos

Jeep Cherokee US-Version Foto: Jeep 7 Bilder

In den USA ist es zwei Hackern gelungen, sich über das Internet Zugang zu einem Jeep Cherokee zu verschaffen und wesentliche Fahrzeugfunktionen fernzusteuern. FCA reagiert mit einem Softwareupdate.

Die Sicherheitsexperten Charlie Miller und Chris Valasek haben zum Kapern des Jeeps eine Sicherheitslücke im Infotainmentsystem UConnect genutzt. Zugriff auf das Fahrzeug erlangten die Hacker über die IP-Adresse des Infotainmentsystems. Dann installierten sie eine selbst entwickelte Software und konnten so einige Funktionen des Fahrzeug von außen über das Internet steuern. Der Übernahmeversuch wurde zusammen mit dem US-Technikmagazin "Wired" unternommen.

Lenken und bremsen per Fernsteuerung

Manipuliert werden konnten unter anderem die Klimaanlage, das Radio, das Getriebe, die Scheibenwischer sowie die Zentralverriegelung. Zudem waren Miller und Valasek in der Lage den Motor abzustellen, die Bremse auszuschalten und die Lenkung zu übernehmen.

Miller und Valasek wollen Teile ihres Software-Codes bei der Hacker-Konferenz "Black Hat“ im August 2015 in Las Vegas veröffentlichen. Zudem werden die Ergebnisse ihrer Tests mit den Autoherstellern geteilt. Es gibt Indizien, dass die Anbindung des UConnect-Systems an den allgemeinen Fahrzeug-CAN-Bus, über den alle Informationen und Steuersignale laufen, das Einfallstor für die Hacker war. Hierzu mussten sie lediglich in den Besitz der sogenannten IP-Adresse des Datenmoduls kommen, mit dem das System über Mobilfunk den Internet-Zugang herstellt.

Fiat-Chrysler hat mittlerweile reagiert und bietet für insgesamt 1,4 Millionen Modelle ein Softwareupdate an, das die Sicherheitslücke schließen soll, das Update kann in den USA direkt über eine UConnect-Serviceseite heruntergeladen werden. Gerüchteweise soll durch das Update die Vernetzung des UConnect-Systems über den CAN-Bus eingeschränkt werden, Hacker könnten demnach nur noch Funktionen manipulieren, die direkt über das UConnect-System gesteuert werden – also beispielsweise den Radioempfang oder die Klimasteuerung. Das Softwareupdate steht bereit für die Modelle Viper, Ram-Pickups, Jeep Cherokee und Grand Cherokee, Dodge Durango, Chrysler 200 und 300 sowie Dodge Challenger. Generell wird das UConnect-Entertainment-System konzernweit in Fahrzeugen von Fiat-Chrysler eingesetzt.

Deutsche Modelle angeblich nicht betroffen

Wie wir aus Konzernkreisen erfahren konnten, betrifft der geschilderte Hack keine Modelle von Fiat-Chrysler, die bis heute in Deutschland ausgeliefert wurden. Der Grund: hier wurde das internetfähige UConnect Live bislang nicht angeboten.

Der Fall wirft indes ein Schlaglicht auf eine gewisse Sorglosigkeit, mit der Hersteller die Internet-Anbindung ihrer Pkw vorantreiben. Denn Miller und Valasek sind auf diesem Gebiet keine Anfänger: bereits 2013 demonstrierten Sie an einem Toyota Prius und einem Ford Escape, wie sie sicherheitskritische Funktionen von der Lenkung bis zur Fahrzeugbremse manipulieren können. Der Unterschied: damals benötigten sie noch physischen Zugriff auf den jeweiligen Wagen, um sich über das Diagnosesystem in die Bordelektronik einklinken zu können. Mit den zunehmend verbreiteten internetfähigen Fahrzeugen scheint dieser manuelle Einbruch nicht mehr nötig zu sein, es genügt ein Laptop und die IP-Adresse des im Auto verbauten GSM-Moduls.

Bedenken könnte auch eine Anfang des Jahres beschlossene EU-Vorgabe wecken. Diese schreibt vor, dass ab 2018 jeder in der EU neu zugelassene Pkw über das automatische Notrufsystem eCall verfügen muss. Das, der Name verrät es, bedeutet für jeden Neuwagen ein installiertes GSM-Modul mit mobilem Datenzugang. Bereits heute sind zahlreiche Modelle diverser Hersteller mit diesem System auf unseren Straßen unterwegs. Wenig beruhigend ist auch eine andere Tatsache: Das Car-Hacking-Projekt von Miller und Valasek wird von der DARPA finanziert, also vom US-Verteidigungsministerium.

Zur Startseite
Die neue Ausgabe als PDF
Beliebte Artikel Connected Drive, Online-Funktionen, Fernbedienung Sicherheitslücke bei BMW ConnectedDrive Über 420.000 Autos konnten geöffnet werden Bei der 22. Def Con suchte Tesla nach Hackern, die Sicherheitslücken im Model S ausfindig machen können. IT-Sicherheitskonferenz Def Con Tesla wirbt um die weltweit besten Hacker
Gebrauchtwagen Angebote
Anzeige
Sportwagen Puritalia Berlinetta Puritalia Berlinetta Sport-Coupé mit 965-Hybrid-PS Mini John Cooper Works GP Concept Mini John Cooper Works GP Über 300 PS starke Kleinserie kommt 2020
SUV 02/2019 Bentley Bentayga Speed Bentley Bentayga Speed Der schnellste SUV der Welt Neuer Land Rover Defender Innenraum Land Rover Defender 90 und 110 (2020) Erster Einblick in den Landy-Innenraum
Oldtimer & Youngtimer 02/2019, 1987 Buick GNX Versteigerung Buick GNX von 1987 Kult-Coupé mit nur 8,5 Meilen steht zum Verkauf VW T1 Radarmesswagen (1953) 1. Blitzer-Bulli Blitzer-Bulli nach 54 Jahren wiederentdeckt Die Radarfalle geht heute noch genau