Jump to content
EUROPAS GROßE
SPORTWAGEN COMMUNITY

Hacker steuern Jeep Cherokee fern


kkswiss

Empfohlene Beiträge

Da scheint ja was auf uns zuzukommen.

Wenn ich sehe, wieviele Hersteller schon Hotspots oder sonstige, externe Verbindungen anbieten.

Hacker steuern Jeep Cherokee fern

Durch eine Schwachstelle im Infotainmentsystem konnten Sicherheitsforscher die Kontrolle über einen Jeep übernehmen – über das Internet. Anfällig sind möglicherweise weitere Modelle des Fiat-Chrysler-Konzerns. Ein erstes Update schafft Abhilfe.

Auto fremdgesteuert

So hatten sie aus der Ferne unter anderem die Kontrolle über Bremsen, Beschleunigung, Türverriegelung, Klimaanlage und Scheibenwischer. Im Rückwärtsgang soll sich sogar das Lenkrad fernsteuern lassen. Zudem soll es ohne Zustimmung des Fahrzeuginhabers möglich sein, den genauen Aufenthaltsort der betroffenen Fahrzeuge zu bestimmen. Gegenüber Wired demonstrierten die Forscher dies an einem Jeep Cherokee, dessen eingeweihter Fahrer nach und nach die Kontrolle über das Fahrzeug verlor. Schließlich landete das kompromittierte Vehikel in einem Graben.

Quelle: Heise (ich bin ein Link)

  • Gefällt mir 1
Jetzt registrieren, um Themenwerbung zu deaktivieren »

Und genau an der Stelle darf man sich dann umso mehr auf selbstfahrende Autos freuen, bei denen man dann als Fahrer wirklich keine Chance mehr hat, noch Einfluss zu nehmen. Werden die Dinger dann gehackt, geht es auf den Straßen zu wie beim Computerspiel GTA... Herzlich willkommen in der tollen neuen Welt...:-(((°

Das man ein Computersystem übernehmen kann wundert mich in keinster Weise. Was mich aber schon irritiert ist, dass das Infotainment-System am Auto-Bus anliegt und sich offenbar gegenseitig steuern kann.

Klar für Auto-Konzerne ist "In-Car-IT" auch nur ein Stichwort unter vielen und in den letzten Jahrzehnten vernachlässigt worden. Aber normalerweise trennt man ganz strikt solche Funktionen voneinander in dem getrennte Netzwerke existieren. Da würde ich mal behaupten, dass das "von früher" übrig geblieben ist, dass das Radio und das ABS eben über einen Kabelbaum gingen und das wurde mehr und mehr. Vermutlich gibt es diverse IT-Mitarbeiter, die das seit Jahren anprangern und es vom Management als zu kostenintensiv abgestempelt wird. Solche alten Fehlkonstruktionen werden immer erst behoben bzw. bekommen die tolle Management-Attention, wenn es zu spät ist bzw. wenn die negative PR die Kosten übersteigt - schade eigentlich.

Das man ein Computersystem übernehmen kann wundert mich in keinster Weise. Was mich aber schon irritiert ist, dass das Infotainment-System am Auto-Bus anliegt und sich offenbar gegenseitig steuern kann.
Das ist auch nicht verallgemeinerbar. Das Infotainment läuft üblicherweise über einen MOST-Bus und alles andere, was über Sensoren verfügt und gesteuert wird, über einen CAN-Bus (oder gar zwei, CAN-C und CAN-B, die allerdings über sog. Gateways miteinander in Verbindung stehen).

ich tippe mal darauf dass schlicht die onlinefähigkeit des infotainment

seitens des herstellers als zugriffsmöglichkeit für evtl.updates etc.

vorgesehen ist...wenn man sich dann als hersteller autentifiziert

kann man locker neue software aufspielen...entsprechendes

equipment vorausgesetzt.

auf heise ist ganz gut erklärt wie das ganze bei BMW ging

http://www.heise.de/ct/ausgabe/2015-5-Sicherheitsluecken-bei-BMWs-ConnectedDrive-2536384.html

bei Mercedes brauchts nur ne Getränkedose

um aus ner S-Klasse ein autonomes auto zu machen

  • Gefällt mir 1

Trotzdem sollte das Infotainment komplett von den "wichtigen" Systemen des Fahrzeugs abgeschottet sein. Es gibt einfach keinen Grund (mir fällt zumindest keiner ein) warum das Infotainment Zugriff auf die ABS Sensoren braucht.

Gestern Abend während der Radionachrichten blieb mir allerdings das Lachen im Halse stecken. Es kam ein Kurzbericht über diesen "ferngesteuerten" Jeep nebst der Stellungnahme von Fiat, die ungefähr wie folgt lautet:

"Unsere Kunden in Europa brauchen keine Angst vor solchen Hackerangriffen haben, die Autos für den dortigen Markt sind anders gebaut. Außerdem sind diese beiden Hacker besonders raffiniert vorgegangen, das ist so nicht zu erwarten."

Glauben die, dass der normale Hacker so oft vom Baum gefallen ist, dass er zu "raffinierten" Lösungen nicht fähig ist?

Hier mal der Pressetext (enthält leider die Stellungnahme nicht, aber zeigt auf, wieviele Autos von diesem Hack jetzt theoretisch betroffen sind):

Unhacking the hacked Jeep

We read about “hacks” every day. All industries are potential targets of a hacker and the automotive industry has been no exception.

Well-known hackers Charlie Miller and Chris Valasek recently teamed-up with a WIRED reporter to publish a story that you may have read about or seen on the news. The story highlights how Miller and Valasek hacked into Miller’s 2014 Jeep Cherokee and remotely controlled some functions. Miller and Valasek have been working on intentionally hacking into Miller’s vehicle over the past year as part of their on-going research in the area of automotive cybersecurity and have communicated with FCA about some aspects of their work.

To FCA’s knowledge, there has not been a single real world incident of an unlawful or unauthorized remote hack into any FCA vehicle.

After becoming aware of the vulnerabilities in some 2013 and 2014 vehicles equipped with the 8.4 inch touchscreen systems, FCA and several suppliers worked to fix the vulnerabilities in model year 2015 vehicles. FCA also created a software update that eliminates the vulnerabilities uncovered by Miller and Valasek in their laboratory tests. This software update is available to customers right now and can be downloaded to a USB drive from http://www.driveuconnect.com/software-update/ and installed in a vehicle.

FCA will be contacting potentially affected customers with these details and has provided the software update to the FCA US dealer network for immediate customer installation.

Customers can enter a vehicle identification number (VIN) and find out if their vehicle needs the software update. If your vehicle needs the update, you can download the software update to a USB drive and install it yourself. Another option is to make an appointment with your FCA US dealership and have them install it for you at no charge. The update, if installed DIY, will take 30-45 minutes, and your vehicle needs to be parked throughout the software update/installation process.

In addition, FCA US has been working with its suppliers to implement additional protocols to block remote access. These changes will not require any action by our customers.

The vehicles listed below that have a 8.4 inch touchscreen radio system need this software update:

2013-2014 Ram 1500 Pickup

2013-2014 Ram 3500 Cab Chassis

2013-2014 Ram 2500 Pickup

2013-2014 Ram 4500/5500 Cab Chassis

2013-2014 Ram 3500 Pickup

2014 Grand Cherokee

2014 Durango

2013-2014 Viper

2014 Cherokee

Some 2015 Chrysler 200s

For any questions regarding how to complete the software update please call our Customer Care Center at 1-877-855-8400.

  • Gefällt mir 1
Gestern Abend während der Radionachrichten blieb mir allerdings das Lachen im Halse stecken. Es kam ein Kurzbericht über diesen "ferngesteuerten" Jeep nebst der Stellungnahme von Fiat, die ungefähr wie folgt lautet:

"Unsere Kunden in Europa brauchen keine Angst vor solchen Hackerangriffen haben, die Autos für den dortigen Markt sind anders gebaut. Außerdem sind diese beiden Hacker besonders raffiniert vorgegangen, das ist so nicht zu erwarten."

Ein wenig anders ist die Originalstellungnahme schon, nämlich dahingehend, daß die Variante der Internetanbindung die in den US-Modellen verwendet wird in Europa nicht angeboten wird. Und deswegen ist das für europäische Modelle nicht relevant.

Allerdings muss die Chrysler-Group da massiv geschlampt haben. Gateways zwischen den Bussen müssen normalweise beschränkt sein auf genau das Funktionsset das via Gateway benötigt wird, z.B. damit innerhalb des Infotainment-Busses die Fahrgeschwindigkeit und Drehzahl für eine Lautstärkenanpassung verfügbar ist. Aber nicht irgendein Generalzugriff der mit einem Key oder Passwort freigeschaltet werden kann.

Übrigens scheint mir der Text auf ein weiteres Problem hinzudeuten. Eigentlich sollte ein Endkunde via USB-Stick nur Software auf Komponenten aktualisieren können die am Infotainment-CAN-Bus hängen. Sonst dürfte man nie seinen Wagen aus der Hand geben (auch wenn nur signierte Software akzeptiert wird, reicht ja schon wenn einem ein Spaßvogel einen alten Stand unterschiebt) - was zumindest in den USA ja beim Valet Parking dauernd vorkommt.

Wenn dem aber so ist, daß ist der Fix kein richtiger. Der richtige Fix müsste auf das Gateway zum Infotainment-CAN-Bus aufgespielt werden.

Irgendetwas ist da ganz faul.

Ich habe auf so eine Aktion schon eine ganze Weile gewartet. Jeder große OEM hat (abgesehen von TESLA vielleicht, z.B.: http://www.slashgear.com/expect-an-irate-call-if-you-try-to-hack-your-tesla-model-s-06323921/ ) keine Kompetenz in IT-Sicherheit.

D.h es wird jeder "schicke" Kram zugekauft und irgendwie im Fahrzeug verwurstelt, ein Pen-Testing findet nicht statt, die Hersteller machen sich nicht einmal Gedanken über mögliche Angriffswege.

Solche Vorfälle werden sich häufen und richtig spannend wird es wenn die Kollegen auf den Trichter kommen nicht das Fahrzeug anzugreifen sondern das zentrale Backend. Dann bremst nicht nur ein Jeep auf Befehl, sondern auf Kommando bleiben alle Jeeps mit einem bestimmten Softwarestand stehen, schöne neue Welt.

D.h es wird jeder "schicke" Kram zugekauft und irgendwie im Fahrzeug verwurstelt, ein Pen-Testing findet nicht statt, die Hersteller machen sich nicht einmal Gedanken über mögliche Angriffswege.

Sorry, das stimmt so einfach nicht. Ich weiss von zumindest zwei großen deutschen Herstellern daß da einiges investiert wird, schon seit Jahren. Vermutlich nicht genug, aber über das naive Stadium des "einfach zukaufen und im Fahrzeug verwursteln" sind die deutlich hinaus.

Und Tesla? Die haben es auch nicht besser, das Model S ist bereits letztes Jahr von Chinesen gehackt worden. Und der Link ist keine Beruhigung - auch wenn der Port intern ist - ein völlig ungeschützter Zugang - meine Herren, das weisst eher auf dürftig ausgeprägtes Sicherheitsbewusstsein. "Ist ja kein Normstecker, also alles sicher, oder was?"

Ein wenig anders ist die Originalstellungnahme schon, nämlich dahingehend, daß die Variante der Internetanbindung die in den US-Modellen verwendet wird in Europa nicht angeboten wird. Und deswegen ist das für europäische Modelle nicht relevant...

die rede war von den verwendeten GSM modulen...

Die in Europa verkauften Modelle sind nach Herstellerangaben nicht mit einem Mobilfunkmodem ausgestattet und demzufolge auch nicht direkt mit dem Internet verbunden. Das gilt auch für die weiteren Fahrzeuge des Konzerns Fiat Chrysler Automobiles, zu dem neben Jeep unter anderem noch Ferrari, Lancia und Maserati Aus diesem Grund sieht der Hersteller keinen Anlass, das in den USA veröffentlichte Sicherheitsupdate in Europa anzubieten

dabei muss man sich aber klar sein dass eben daran schon gearbeitet wird !

schliesslich ist spätestens ab dem 31.03.2018 das eCall pflicht :D

dazu gibts noch begehren verschiedener stellen wie polizei oder umweltämtern

fahrzeuge oder (fluchtwagen-)fahrer die gegen auflagen verstossen per knopfdruck stillegen zu können....

und ausserdem haben die aktuellen autos ja schon meist mindestens zwei

empfänger die man nützen kann radio- und raddrucksensorantennen

sowie eine bluetooth-streaming möglichkeit ist ja schon standart.

mbm ist das aufspielen einer software als lösung nichts als augenwischerei,

denn wie will man da verhindern dass danach einfach wieder anfällige software aufgespielt wird?

das fängt schon bei motorsteuergeräten an:gegen auslesen sind sie meist geschützt...da brauchts oft den direkten zugriff aufs geöffnete steuergerät

um es in den boot-modus zu versetzen....neuen datensatz aufspielen geht schlicht über die diagnoseschnittstelle ! neben chiptuning gibts da dann auch solche sachen wie wegfahrsperre abschalten, verschiedene systeme

wie lamddaregelung,abgasrückführung manipulieren oder selbst entwickelte dinge wie drehzahl-/geschwindigkeitsabhängige launch control einspielen ist alles kein problem.....

  • 3 Wochen später...
Unsere Kunden in Europa brauchen keine Angst vor solchen Hackerangriffen haben, die Autos für den dortigen Markt sind anders gebaut (...)
Solche Äußerungen eines Auto-Herstellers provozieren schon ungemein. Nicht unbedingt den bösen "Hacker-Schorsch" Buben, für den das wahrscheinlich eine eher langweilige, weil nicht ausreichend spektakuläre Herausforderung darstellt. Aber es gibt auch etwas größere und bedeutungsvollere Institutionen, die soeben das Gegenteil bewiesen haben. So ist in Großbritannien die BBC jüngst in einem offiziellen Versuch über das DAB/DAB+ Radio "eingestiegen". Dazu hat man lediglich eine DAB/DAB+ Sendefrequenz überlagert, also eine DAB-Sendestation simuliert, und schon war man "drin". Das Problem: Ein Radio kann grundsätzlich nicht erkennen, ob eine Frequenz nur erlaubte Sendedaten enthält, oder von bösartigen Daten überlagert ist. Ob also eine Frequenz "seriös" ist oder nicht. So konnte im vorliegenden Versuch sogar eine Schadsoftware aufgespielt werden, mit deren Hilfe sicherheitsrelevante Fahrzeugsysteme gekapert wurden. Dies betraf u.a. die Lenkung und die Bremsen. Technisch funktionierte dies, weil der DAB/DAB+ Empfänger Teil des gesamten Infotainmentsystems ist und man hierüber Zugriff auf Online-Dienste aller Art hat, was wiederum Zugriff auf die Hauptfunktionen des Autos ermöglicht. Eine Firewall zum Schutz nachgeschalteter Geräte innerhalb des Infotainmentsystems existiert in den DAB/DAB+ Empfängern nicht. Einzig verbleibender Trost (soweit man überhaupt von sowas sprechen kann): Die Übertragung von Radiosignalen, sei es auf analogem oder digitalem Weg (wie bei DAB/DAB+), ist immer nur eine Einweg-Kommunikation. D.h. man kann ein Signal an das Empfangsgerät senden, erhält aber keine Rückmeldungen. Somit ist ein Auslesen von Daten auf diesem Weg nicht möglich.

Was mich irritiert: Offenbar gibt es doch eine verhältnismäßig einfach zu überwindende Verbindung zwischen Infotainment und operativer Autoelektronik, trotz völlig unterschiedlicher Bussysteme mit nur wenigen spezifischen Gateways. Somit ist letztlich der Autobauer für die Einrichtung entsprechender Schutzsysteme zuständig. Auch wenn er versucht, einen Teil der Verantwortung auf die Zulieferer abzuwälzen - der Autobauer ist der Inverkehrbringer und somit in der finalen Verantwortung.

Das scheint ein Sport zu werden.:???:

Auto-Hacker blockieren Bremsen per Handy

US-Hackern gelang es, sich mit Hilfe von SMS-Nachrichten in das System einer Corvette einzuschalten. Sie bedienten die Scheibenwischer und unterbrachen die Bremsen.

Die Serie erfolgreicher Hacker-Angriffe von Forschern auf vernetzte Autos bricht nicht ab. US-Experten gelang es nach eigenen Angaben, über die Sicherheitslücke in einer Versicherungs-Box die Bremsen einer Corvette abzuschalten - wenn auch nur bei sehr geringem Tempo.

Link zum Artikel, 20 Min.

Das scheint ein Sport zu werden.:???:

Link zum Artikel, 20 Min.

Hacken war meiner Meinung nach schon immer ein Art Sport.

Nicht im klassischem Sinn, aber eben wie ein Wettkampf.

Wer findet die Sicherheitslücke zuerst? Der Dieb, Terrorist, usw., oder der medien- und erfolgsgeile Hacker, der gerne auch mal eine Art archaischen "ein-Mann-TÜV" darstellt.

In der IT ist das durch viele ungeschriebene Regeln ganz gut geregelt.

Auch versuchen Firmen mit Geld, Preisen und Wettkämpfen hier einen Dialog zu den Erkenntnissen der Hacker zu bekommen. Oder gar diese ein zu stellen. Letzteres macht eher eine staatliche Institution.

Manche Hacker machen sich nach einer erfolgreichen, weil medienwirksamen Karriere, auch selbständig.

Also sportlich, ja, aber es ist nicht immer das einzige Ziel.

Es wäre eventuell mal Zeit für einen Film, in dem z.B. der von Geheimdiensten verfolgte Hacker die Bremsen oder Motoren der Verfolgerfahrzeuge manipuliert, usw. :D

  • 4 Wochen später...

Ja müssen wir denn alle Fehler immer wiederholen? Seine eigenen Laserreflektionen sicher von Anderen zu unterscheiden, dass sollte doch mindestens die Anforderung sein!

Was machen wir denn wenn sich Millionen Autos mit Radar und Laser in den Ballungsgebieten tummeln? Oder ist das kein Bug sondern Feature? So das unsichtbaren Hindernisse z.B. zur Verkehrsberuhigung aufgestellt werden können? :D

Schreibe eine Antwort

Du kannst jetzt einen Beitrag schreiben und dich dann später registrieren. Wenn du bereits ein Benutzerkonto hast, melde dich zuerst an.

Gast
Unfortunately, your content contains terms that we do not allow. Please edit your content to remove the highlighted words below.
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Restore formatting

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorhergehender Inhalt wurde wiederhergestellt.   Editor leeren

×   You cannot paste images directly. Upload or insert images from URL.


×
×
  • Neu erstellen...