Forscher knacken Mitsubishi Outlander per WLAN

Experten des Sicherheitsanbieters PenTestPartners haben eine Sicherheitslücke im WLAN-Modul eines Fahrzeugs des japanischen Automobilherstellers Mitsubishi gefunden. Die Schwachstelle erlaubt es demnach, das Alarmsystem der Plug-in Hybrid-Variante des SUVs Outlander abzuschalten. Außerdem ist es möglich, verschiedene Einstellungen zu verändern und die Batterie des Fahrzeugs zu leeren.

Mitsubishi Outlander (Bild: Mitsubishi).

Von der Anfälligkeit profitieren vor allem potenzielle Autodiebe. Sie erhalten so mehr Zeit, um den Motor des Fahrzeugs zu starten und es zu entwenden. Hierzulande ist der Plug-in Hybrid Outlander zu einem Basispreis ab 39.990 Euro zu haben.

Die Schwachstelle beruht den Forschern zufolge auf der „ungewöhnlichen“ Art, in der sich die mobile App mit dem Outlander verbindet. Statt ein GSM-Modul zu nutzen, haben die Entwickler einen WLAN-Access-Point in das Fahrzeug integriert, allerdings ohne gängige Sicherheitspraktiken zu beachten.

Das voreingestellte WLAN-Passwort war demnach so kurz, dass ein Computer mit vier GPUs weniger als vier Tage benötigte, um es zu knacken, so die Forscher weiter. Über einen Man-in-the-Middle-Angriff sei es schließlich gelungen, den Datenverkehr zwischen App und Fahrzeug abzufangen und das Fahrzeugsystem über den Diagnoseanschluss zu kompromittieren.

Anschließend steuerten die Mitarbeiter von PenTestPartners nicht nur die Alarmanlage, sondern auch die Beleuchtung und die Klimaanlage. „Einmal entsperrt sind wahrscheinlich noch mehr Angriffe möglich“, erklärten die Forscher. „Der Diagnoseanschluss ist zugänglich, sobald die Tür entriegelt wurde. „Ob sich darüber, wie zeitweise bei Fahrzeugen von BMW möglich, auch neue Türschlüssel programmieren lassen, haben die Forscher nach eigenen Angaben nicht überprüft.

Ein weiteres Problem ist nach Ansicht der Sicherheitsexperten der unverwechselbare voreingestellte Name des WLAN-Netzwerks. „Einige haben wir entdeckt, während sie gefahren sind, andere standen vor dem Haus ihrer Besitzer. Ein Dieb oder Hacker kann also mit Leichtigkeit ein für ihn interessantes Fahrzeug finden.“

ANZEIGE

Das Samsung Galaxy S7 und Galaxy S7 Edge im Business-Einsatz

Die Samsung-Smartphones Galaxy S7 und S7 Edge zählen unter Privatanwendern zu den beliebtesten Android-Smartphones. Dank Samsung KNOX und dem kürzlich aufgelegten Enterprise Device Program sind sie auch für den Unternehmenseinsatz gut geeignet.

Anfänglich habe sich Mitsubishi nicht für die Details der Schwachstelle interessiert. Das habe sich erst nach den ersten Presseberichten geändert. Inzwischen sei ein Fix in Arbeit. Mitsubishi selbst teilte mit, es sei bisher kein anderer Hacking-Angriff auf Outlander-Fahrzeuge weltweit bekannt und man nehme den Vorfall „sehr ernst“.

Betroffenen Fahrzeugbesitzern rät Mitsubishi, das WLAN-Modul des Fahrzeugs über das Fahrzeugsystem durch Auswahl von „VIN Registrierung aufheben“ abzuschalten. Dies sei auch über die mobile App möglich, die anschließend allerdings unbrauchbar sei – bis ein Fix zur Verfügung stehe.

Die Sicherheit von Fahrzeugsystemen steht schon länger in der Kritik. Im vergangenen Jahr knackte ein Hacker das OnStar-Fahrzeugsystem von General Motors, was es ihm sogar erlaubte, das Fahrzeug aus der Ferne zu starten. Fiat Chrysler rief aufgrund einer Sicherheitslücke in seinem Fahrzeugsystem sogar rund 1,4 Millionen Fahrzeuge in die Werkstätten, um über ein Software-Update Sicherheitsfunktionen nachzurüsten.

[mit Material von Charlie Osborne, ZDNet.com]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Microsoft verschiebt erneut Copilot Recall

Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…

4 Stunden ago

GenKI im Job: Mitarbeitende schaffen Tatsachen

Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.

6 Stunden ago

97 Prozent der Großunternehmen melden Cyber-Vorfälle

2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…

6 Stunden ago

„Pacific Rim“-Report: riesiges, gegnerisches Angriffs-Ökosystem

Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…

9 Stunden ago

DeepL setzt erstmals auf NVIDIA DGX SuperPOD mit DGX GB200-Systemen

NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.

10 Stunden ago

Latrodectus: Gefährlicher Nachfolger von IcedID

Latrodectus, auch bekannt als BlackWidow, ist auch unter dem Namen LUNAR SPIDER bekannt.

10 Stunden ago