Forscher knacken Mitsubishi Outlander per WLAN

Experten des Sicherheitsanbieters PenTestPartners haben eine Sicherheitslücke im WLAN-Modul eines Fahrzeugs des japanischen Automobilherstellers Mitsubishi gefunden. Die Schwachstelle erlaubt es demnach, das Alarmsystem der Plug-in Hybrid-Variante des SUVs Outlander abzuschalten. Außerdem ist es möglich, verschiedene Einstellungen zu verändern und die Batterie des Fahrzeugs zu leeren.

Mitsubishi Outlander (Bild: Mitsubishi).

Von der Anfälligkeit profitieren vor allem potenzielle Autodiebe. Sie erhalten so mehr Zeit, um den Motor des Fahrzeugs zu starten und es zu entwenden. Hierzulande ist der Plug-in Hybrid Outlander zu einem Basispreis ab 39.990 Euro zu haben.

Die Schwachstelle beruht den Forschern zufolge auf der „ungewöhnlichen“ Art, in der sich die mobile App mit dem Outlander verbindet. Statt ein GSM-Modul zu nutzen, haben die Entwickler einen WLAN-Access-Point in das Fahrzeug integriert, allerdings ohne gängige Sicherheitspraktiken zu beachten.

Das voreingestellte WLAN-Passwort war demnach so kurz, dass ein Computer mit vier GPUs weniger als vier Tage benötigte, um es zu knacken, so die Forscher weiter. Über einen Man-in-the-Middle-Angriff sei es schließlich gelungen, den Datenverkehr zwischen App und Fahrzeug abzufangen und das Fahrzeugsystem über den Diagnoseanschluss zu kompromittieren.

Anschließend steuerten die Mitarbeiter von PenTestPartners nicht nur die Alarmanlage, sondern auch die Beleuchtung und die Klimaanlage. „Einmal entsperrt sind wahrscheinlich noch mehr Angriffe möglich“, erklärten die Forscher. „Der Diagnoseanschluss ist zugänglich, sobald die Tür entriegelt wurde. „Ob sich darüber, wie zeitweise bei Fahrzeugen von BMW möglich, auch neue Türschlüssel programmieren lassen, haben die Forscher nach eigenen Angaben nicht überprüft.

Ein weiteres Problem ist nach Ansicht der Sicherheitsexperten der unverwechselbare voreingestellte Name des WLAN-Netzwerks. „Einige haben wir entdeckt, während sie gefahren sind, andere standen vor dem Haus ihrer Besitzer. Ein Dieb oder Hacker kann also mit Leichtigkeit ein für ihn interessantes Fahrzeug finden.“

ANZEIGE

Das Samsung Galaxy S7 und Galaxy S7 Edge im Business-Einsatz

Die Samsung-Smartphones Galaxy S7 und S7 Edge zählen unter Privatanwendern zu den beliebtesten Android-Smartphones. Dank Samsung KNOX und dem kürzlich aufgelegten Enterprise Device Program sind sie auch für den Unternehmenseinsatz gut geeignet.

Anfänglich habe sich Mitsubishi nicht für die Details der Schwachstelle interessiert. Das habe sich erst nach den ersten Presseberichten geändert. Inzwischen sei ein Fix in Arbeit. Mitsubishi selbst teilte mit, es sei bisher kein anderer Hacking-Angriff auf Outlander-Fahrzeuge weltweit bekannt und man nehme den Vorfall „sehr ernst“.

Betroffenen Fahrzeugbesitzern rät Mitsubishi, das WLAN-Modul des Fahrzeugs über das Fahrzeugsystem durch Auswahl von „VIN Registrierung aufheben“ abzuschalten. Dies sei auch über die mobile App möglich, die anschließend allerdings unbrauchbar sei – bis ein Fix zur Verfügung stehe.

Die Sicherheit von Fahrzeugsystemen steht schon länger in der Kritik. Im vergangenen Jahr knackte ein Hacker das OnStar-Fahrzeugsystem von General Motors, was es ihm sogar erlaubte, das Fahrzeug aus der Ferne zu starten. Fiat Chrysler rief aufgrund einer Sicherheitslücke in seinem Fahrzeugsystem sogar rund 1,4 Millionen Fahrzeuge in die Werkstätten, um über ein Software-Update Sicherheitsfunktionen nachzurüsten.

[mit Material von Charlie Osborne, ZDNet.com]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

11 Stunden ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

15 Stunden ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

16 Stunden ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

16 Stunden ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

17 Stunden ago

Netzwerk-Portfolio für das KI-Zeitalter

Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…

19 Stunden ago