FBI warnt vor Anfälligkeiten von Autos

Die US-Bundespolizeibehörde FBI hat eine Liste mit Fahrzeugsystemen zusammengestellt, die für eine Attacke missbraucht werden könnten – ähnlich wie die im vergangenen Jahr demonstrierte, als es Sicherheitsforschern gelang, die Kontrolle über einen fahrenden Jeep Cherokee zu übernehmen. Die als Bürgerservice deklarierte Warnung veröffentlicht das FBI zusammen mit dem Verkehrsministerium und der National Highway Traffic Safety Administration (NHTSA).

Fahrzeuge müssten mit der gleichen Vorsicht behandelt und abgesichert werden wie Computer und Smartphones, schreiben die Behörden. Dies ist aber ungleich schwieriger, da Autos oft öffentlich geparkt und dann unbeaufsichtigt sind. „Wie Sie Ihren Computer oder Ihr Smartphone nicht entsperrt an einem unsicheren Ort ablegen würden oder jemandem überlassen, dem Sie nicht vertrauen, sollten Sie die gleiche Aufmerksamkeit für Personen aufwenden, die Zugang zu Ihrem Fahrzeug haben.“

Angriffe sind laut FBI vor allem über Schnittstellen möglich, die auch für Service-Updates verwendet werden – neben den Funktechniken Bluetooth und Wi-Fi vor allem USB. Im Fall des Jeep war beispielsweise über Nachrichten im Controller Area Network (CAN) die Electronic Control Unit (ECU) angegriffen worden. Fiat Chrysler musste 1,4 Millionen Fahrzeuge zurückrufen und Kunden USB-Laufwerke mit Sicherheitskorrekturen zusenden.

Ein solches Verfahren ist aber mit neuen Gefahren verbunden. Der Kunde muss eigentlich zuerst überprüfen, ob das erhaltene Laufwerk wirklich vom Hersteller stammt. Schließlich könnten Kriminelle ebenfalls USB-Laufwerke in die Post stecken.

Auch erwarten die US-Behörden, dass Kriminelle im Zusammenhang mit Autoelektronik Verfahren einsetzen werden, die sich bei Computern als erfolgreich erwiesen haben – etwa Malware als E-Mail-Dateianhang oder Links auf Malware verbreitende Websites. „Die Malware könnte so konzipiert sein, dass sie sich auf dem Computer des Fahrzeugbesitzers installiert, oder in einer Software-Aktualisierungsdatei stecken, die per USB aufgespielt wird.“

Als zusätzliches Problem haben sie Drittanbieter-Geräte ausgemacht, die in den OBD2-Diagnoseport gesteckt werden, darunter Dongles von Versicherern, die sicheres Fahren nachweisen sollen, das wiederum zu niedrigeren Gebühren führt. Im August 2015 konnten Forscher nachweisen, dass sich damit nicht nur lokale Angriffe durchführen lassen, indem sie mit SMS an ein solches Dongle Befehle an den CAN-Bus des Fahrzeugs übertrugen.

[mit Material von Liam Tung, ZDNet.com]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.