Durch eine Schwachstelle im Infotainmentsystem konnten Sicherheitsforscher die Kontrolle über einen Jeep übernehmen – über das Internet. Anfällig sind möglicherweise weitere Modelle des Fiat-Chrysler-Konzerns. Ein erstes Update schafft Abhilfe.
In dem Uconnect-Infotainmentsystem von Fiat Chrysler soll eine kritische Schwachstelle klaffen, durch die ein Angreifer das damit ausgestattete Fahrzeug über das Internet fernsteuern kann. Den Sicherheitsforscher Charlie Miller und Chris Valasek ist es offenbar gelungen, über das Netz auf die Diagnose-Schnittstelle (CAN-Bus) einiger Fahrzeugmodelle zuzugreifen.
Auto fremdgesteuert
So hatten sie aus der Ferne unter anderem die Kontrolle über Bremsen, Beschleunigung, Türverriegelung, Klimaanlage und Scheibenwischer. Im Rückwärtsgang soll sich sogar das Lenkrad fernsteuern lassen. Zudem soll es ohne Zustimmung des Fahrzeuginhabers möglich sein, den genauen Aufenthaltsort der betroffenen Fahrzeuge zu bestimmen. Gegenüber Wired demonstrierten die Forscher dies an einem Jeep Cherokee, dessen eingeweihter Fahrer nach und nach die Kontrolle über das Fahrzeug verlor. Schließlich landete das kompromittierte Vehikel in einem Graben.
Zugriff über Mobilfunk
Das Uconnect-System in den PKW ist in den USA über den Mobilfunkprovider Sprint mit dem Internet verbunden. Um darauf zugreifen zu können, mussten sich die beiden Sicherheitsforscher ebenfalls mit Sprint verbinden. Zu Fiat Chrysler Automobiles (FCA) gehören neben Fiat und Chrysler auch die Marken Alfa Romeo, Dodge, Jeep, Lancia, Ferrari und Maserati. Eine vollständige Übersicht der betroffenen Marken und Modelle existiert derzeit nicht. heise Security hat bei FCA angefragt, ob und welche Fahrzeuge auf dem deutschen Markt betroffen sind. Laut der deutschsprachigen Ausgabe der Uconnect-Webseite wird das System zumindest für zahlreiche hiesige Modelle angeboten.
Update für Autos
Miller und Valasek stehen bereits seit neun Monaten mit dem Fahrzeughersteller in Kontakt und wollen weitere Details auf der diesjährigen Black-Hat-Konferenz preisgeben, die ab dem 1. August in Las Vegas stattfindet. Zumindest für den Jeep Cherokee steht seit wenigen Tagen ein Update bereit, welches die Lücke schließt. Allerdings wird es laut den Forschern nicht automatisch eingespielt, sondern muss von dem Fahrzeugbesitzer per USB-Stick oder einer Werkstatt installiert werden.
Auch andere Autokonzerne sind vor Schwachstellen in ihren Bordsystemen nicht gefeit: Zuletzt war BMW mit seinem Bordsystem ConnectedDrive in den Schlagzeilen, nachdem es einem Sicherheitsexperten im Auftrag des ADAC unter anderem gelang, Fahrzeuge unberechtigterweise aufzuschließen.
(rei)