Skip to content
< Vorheriger Eintrag | Nächster Eintrag >

Freitag, 25. Januar 2013, 12:35

Hacker übernehmen das Steuer

Eigentlich wollte ich das Thema ja auf sich beruhen lassen, aber dank des Artikels

Hacker übernehmen das Steuer

muss es nun raus.

Es gibt da einen deutschen Automobilhersteller, der vernetztes Fahren anbietet, sprich man kann diverse Fahrzeug-Funktionen z.B. per App auf dem Handy auslösen, u.a. das Öffnen/Verschließen oder das Anzeigen der Fahrzeugposition.

Zur Registrierung nach einem Kauf eines solchen Fahrzeugs muss man lediglich einige Eckdaten des Fahrzeugs kennen - und diese Daten kann man auch bekommen, wenn man eine Probefahrt mit dem Wagen macht.

Man denke sich folgendes Szenario: Man macht eine Probefahrt, notiert sich die Daten, registriert sich für das Fahrzeug, wartet, bis es verkauft wird, ortet das Fahrzeug und öffnet es auf Knopfdruck (und nein, es gibt keinen Rückkanal zwischen verkaufendem Händler und dem Hersteller - leider).

Ich hatte meine Bedenken seinerzeit - verbunden mit einigen (kostenlosen) Sicherheitstipps - bereits an den Hersteller gemeldet - keine nennenswerte Reaktion und v.a. kein Gefühl für die Brisanz. Ebenso war die Fachpresse wenig interessiert, vielleicht aufgrund mangelndem Vorstellungsvermögen - vielleicht aber auch, weil man soetwas nicht publizieren wollte.

Soweit mir bekannt ist, besteht die Sicherheitslücke immer noch.

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

A. Wachert

Sicher das Probefahrtmodelle bei einem expliziten Verkauf nicht neu kodiert werden, und zwar nicht nur die Schlüssel sondern auch die Bordsysteme?

Wäre es so ist wie du sagst, würde es ja ausreichen eine Probefahrt zu machen um dann Nachts direkt nochmal auf dem Hof an das Fahrzeug zu gelangen um es zu öffnen. Und sei es nur im Navi, Radio, Airbags, Sitze, etc. zu entwenden.

Manuel Schmitt (manitu)

AFAIK nein, denn das Fahrzeug identifiziert sich ggü. dem "System" nur anhand der Seriennummer (bzw. sogar nur eines Teils davon).

Und ja: Auch so kann man sich bereichern - wobei ich vermute, dass einfach nur noch keiner darauf gekommen ist.

A. Wachert

Hm, das erscheint mir viel zu blöde vom Bug her als das es wirklich so sein könnte. So wäre ja jeder Verkauf des Wagens, oder Erwerb / Rückgabe eines Leasingsfahrzeugs oder gar Firmenfahrzeuge der pure Wahnsinn.

Ich hab ja in meiner Zeit bei einem sehr großen deutschen Automobilhersteller (ca. 12 Jahre her) einiges erlebt in der Vertragswerkstatt, aber das wäre mir schon sehr suspekt wenn solche Situationen nicht explizit abgedeckt wären.

Es wäre allemal schon ziemlich heftig wenn das tatsächlich so ginge. Da bekommt dann "War Driving" eine ganze neue Bedeutung :P

Alex

Schreib es doch mal an die Versicherer. Denke die werden eher interessiert sein

Compuking

Ciao Manuel,

ich vermute aber, dass es nicht so einfach wird, das Auto dann zu orten, es sei denn man bringt einen Peilsender an.

Weil wenn sich das Auto ein wenig von dir weg befindet, gibt es eine Fehlermeldung:
http://web169.login-75.hoststar.ch/stuff/IMG-20130122-WA0006.jpg

Aber ansonsten verstehe ich genau, was du meinst. Ich kann das Problem nachvollziehen, aber wer so ein Auto klauen möchte, macht das auch so.

Liebe Grüße
Julian

Manuel Schmitt (manitu)

In der Tat - aber die Position des Fahrzeugs ist sicher nicht die größte Unbekannte...

Maria

Hallo,
ist ein sehr interresanter Artikel.
Ohne Einbruchsspuren hat man ja auch schlechte Karten gegenüber der Versicherung. Die wird davon ausgehen, daß der Wagen unverschloßen war.

Aber starten kann man das Auto dann nicht oder doch?

Bei einer Probefahrt kann man ja wirklich den Schlüssel kopieren (mit Code) und später das Auto mitnehmen. Bei uns in Berlin sagten wir früher "Kaum gestohlen, schon in Polen".

Grüße Maria

Windianer

Wenn Microsoft mit im Spiel ist, muss man bei einem Absturz bestimmt Gas-Kupplung-Hupe drücken, um das System neu zu starten ...

SvenS

Die Fahrzeughersteller sind sich in der Tat nur wenig bewusst was sie sich mit der Vernetzung antun. Man unterschätzt hier völlig die Schaffenskraft und das Know How der berühmten Internet Community und glaubt immer noch an security by obscurity. Die Leute im Internet werden da gerne als ein paar Freaks mit wenig professioneller Ahnung angesehen. Das das aber teils Fachleute sind oder auch Nichtfachleute die sich selbst das notwendige Wissen draufschaffen ist offenbar für Menschen außerhalb der IT ein nicht existenter Zustand.

Ist aber auch an einfacheren Dingen sichtbar. Man kann sich bei den Herstellern bis heute doch kaum vorstellen das in diversen Foren die Fahrer der Fahrzeuge untereinander austauschen und deshalb so etwas wie "Ihr Problem ist ein Einzelfall" innerhalb von fünf Minuten vor Ort mit dem Smartphone als Lüge identifiziert ist.

Es wird sicherlich noch richtig lustig wenn dann auch die Autohersteller Sicherheitsupdates einspielen müssen. Warte auf den ersten Rückruf um eine Remote Access Lücke zu schließen und tippe mal den werden wir innerhalb der nächsten 24 Monaten sehen.

Kommentar schreiben

Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.

Um maschinelle und automatische Übertragung von Spamkommentaren zu verhindern, bitte die Zeichenfolge im dargestellten Bild in der Eingabemaske eintragen. Nur wenn die Zeichenfolge richtig eingegeben wurde, kann der Kommentar angenommen werden. Bitte beachten Sie, dass Ihr Browser Cookies unterstützen muss, um dieses Verfahren anzuwenden.
CAPTCHA

BBCode-Formatierung erlaubt
Formular-Optionen