Schwachstelle bei General Motors machte Autos fünf Jahre lang angreifbar

Jeeps, die bei 120 km/h auf dem Highway plötzlich ferngesteuert werden, und Sicherheitsforscher, die demonstrieren, wie Sie per SMS die Bremsen eines Fahrzeuges problemlos deaktivieren können: Das Hacken von Autosystemen hat in diesem Jahr nie dagewesene Medienaufmerksamkeit erfahren. Dabei ist es längst kein neues Phänomen mehr.

Forscher der University of California at San Diego und der University of Washington befassen sich bereits ein halbes Jahrzehnt mit dem Thema automobile Sicherheit und waen General Motors bereits im Frühjahr 2010 vor Schwachstellen, die sich auf Millionen von Fahrzeugen auswirken könnten.

Wired berichtet, dass die Sicherheitsforscher GM bereits damals auf eine Möglichkeit hingewiesen haben, das integrierte OnStar-Assistenzsystem in manchen Fahrzeugen per Fernzugriff zu steuern und so die Kontrolle über das Fahrzeug zu übernehmen.

Dieses Video aus der US-amerikanischen Nachrichtensendung „60 Minutes“ zeigt, wie ein solcher Angriff aussehen kann.

In dem Bericht waren Fahrzeughersteller und -typ noch überklebt worden. Aber die Wahrheit ist mittlerweile ans Licht gekommen. Es handelte sich um einen Chrysler Impala.

Bei dem Hackerangriff wurde per Telefon Kontakt zum OnStar-Computersystem aufgenommen und eine MP3-Datei mit verschiedenen Tönen abgespielt, um die Software zu verwirren und eine Pufferüberlauf-Schwachstelle auszunutzen.

Auf diese Weise konnten die Angreifer per Fernzugriff ihren eigenen Code einschleusen und die Systeme des Autos übernehmen.

Ziemlich beängstigend. Aber noch besorgniserregender ist die Tatsache, dass General Motors trotz bester Absichten große Schwierigkeiten hatte, das Problem zu beheben.

GM war zwar bemüht, die Schwachstelle zu schließen, indem es die Software in nachfolgenden Modellen aktualisierte und Versuche unternahm, Anrufe von unbefugten Telefonnummern zu blockieren. Die Sicherheitsforscher konnten die Maßnahmen jedoch umgehen und auch weiterhin auf betroffene Fahrzeige zugreifen.

Jeff Massimilla, Chief Product Cybersecurity Officer bei GM, räumte gegenüber Andy Greenberg ein, dass GM erst Anfang dieses Jahres ein mobiles Update der älteren OnStar-Systeme durchführen konnte – fast fünf Jahre nachdem man zuerst auf das Problem hingewiesen hatte.

Es scheint, als wäre dieses Update für GM schon eine echte Leistung gewesen, da die Fahrzeuge ursprünglich nicht für diese Art des Updates ausgelegt waren – was wiederum für Verwunderung sorgen könnte. Der Verdacht liegt nahe, dass GM selbst Schwachstellen ausgenutzt hat, um die Fahrzeuge seiner Kunden zu patchen, anstatt den Weg einer kostspieligen und äußerst aufwändigen Rückrufaktion zu gehen.

Dem Fahrzeughersteller wird vorgeworfen, diese fünfjährige Verzögerung durch seine mangelnde Vorbereitung auf Hacker-Angriffe und mögliche Lösungswege verschuldet zu haben. Massimilla hat jedoch mit Nachdruck darauf hingewiesen, dass das Unternehmen mittlerweile viel besser auf derartige Bedrohungen reagieren kann:

„Genau wie in vielen anderen Branchen konzentriert man sich auch in der gesamten Automobilindustrie auf einen angemessenen Umgang mit dem Thema Cyber-Sicherheit. Noch vor fünf Jahren fehlten die richtigen Strukturen, um das Problem umfassend anzugehen. Das hat sich geändert.“

Es ist natürlich durchaus vielversprechend, dass GM kürzlich innerhalb weniger Tage eine  Schwachstelle in seiner OnStar-iOS-App behoben hat. Gleichzeitig lässt die Geschwindigkeit, mit der Fahrzeughersteller in das Internet drängen, echte Bedenken hinsichtlich der Fahrzeug- und Datensicherheit aufkommen. Unabhängig davon, ob GM diese Bedrohung ernst nimmt oder nicht, fragt man sich doch unweigerlich, ob die anderen Hersteller in der Lage sind, derartige Hacker-Angriffe auf ihre Fahrzeuge abzuwehren.

Denn wenn unsere Autos vor Hackern nicht mehr sicher sind, bedroht dies längst nicht mehr nur unsere Daten, sondern auch unser Leben.

rn