Hacker knackt OnStar-Fahrzeugsystem von General Motors

Der Sicherheitsforscher Samy Kamkar hat ein auf dem Mini-Computer Raspberry Pi basierendes mobiles Gerät vorgestellt, mit dem sich das Fahrzeugsystem OnStar des US-Autobauers General Motors manipulieren lässt. Das OwnStar genannte Gadget kann die Position eines Fahrzeugs ermitteln, dessen Türen entriegeln und sogar den Motor starten.

OnStar soll die Konnektivität verbessern, indem es ein Auto mit dem Smartphone des Fahrers verbindet. Der kann dann mittels der Smartphone-App RemoteLink sein Auto aufschließen, Navigationsdienste nutzen und im Fall eines Diebstahls sogar die Zündung blockieren.

Kamkar ist es nach eigenen Angaben gelungen, einen Man-in-the-Middle-Angriff auszuführen und die Kommunikation zwischen der RemoteLink-App und den OnStar-Servern von General Motors abzufangen. Dafür muss er sich nur einmalig in der Nähe eines Fahrzeugbesitzers aufhalten, während dieser seine mobile App startet. Danach erhalte er nicht nur den genauen Standort des Fahrzeugs, sondern auch dauerhaft Zugriff auf alle Funktionen von OnStar, so Kamkar weiter.

In einem Video zeigt er, wie sich aus der Ferne mit seinem Gerät ein Auto entriegeln und auch der Motor starten lässt. Weitere Details will er auf der Sicherheitskonferenz DefCon bekanntgeben, die am 6. August beginnt.

General Motors ist über das Problem informiert. „Glücklicherweise steckt der Fehler in der mobilen Software und es ist kein Problem mit den Fahrzeugen selbst“, sagte Kamkar. „General Motors und OnStar waren bisher empfänglich und haben schnell eine Lösung erarbeitet, um Verbraucher zu schützen.“ Bis zur Veröffentlichung eines Updates rät Kamkar Nutzern allerdings, die RemoteLink-App auf ihrem Smartphone nicht zu verwenden.

Hierzulande bietet die GM-Tochter Opel OnStar auch für ihre Fahrzeuge an. Ob die deutsche Version der Smartphone-App ebenfalls anfällig ist, ist indes nicht bekannt. Allerdings bietet sie weniger Funktionen als die US-Ausgabe: Das Starten des Motors aus der Ferne ist laut Hersteller-Website beispielsweise nicht möglich.

In der vergangenen Woche hatten Forscher bereits eine Sicherheitslücke in einem Fahrzeugsystem von Fiat Chrysler vorgeführt. Sie können aus der Ferne auch wesentliche Funktionen wie die Bremsen manipulieren. Nach Herstellerangaben sind alleine in den USA rund 1,4 Millionen Fahrzeuge betroffen. Sie sollen nun ein Softwareupdate erhalten, das sich nur per USB-Stick einspielen lässt.

[mit Material von Charlie Osborne, ZDNet.com]