Einloggen auf heise online

    • News
    • heise Developer
    • heise Netze
    • heise Open Source
    • heise Security
    • c't
    • iX
    • Technology Review
    • c't Fotografie
    • Mac & i
    • Make
    • Telepolis
    • heise Autos
    • TechStage
    • tipps+tricks
    • heise Download
    • Preisvergleich
    • Whitepapers
    • Webcasts
    • Stellenmarkt
    • Karriere Netzwerk
    • Gutscheine
    • IT-Markt
    • Tarifrechner
    • Netzwerk-Tools
    • Spielen bei Heise
    • heise shop
    • heise Select
    • Artikel-Archiv
    • Zeitschriften-Abo
    • Veranstaltungen
    • Arbeiten bei Heise
    • Mediadaten
heise Security
sponsored by Logo HOB
  • News
    • Archiv
    • 7-Tage-News
  • Hintergrund
  • Events
  • Foren
  • Kontakt
  1. Security
  2. 7-Tage-News
  3. 07/2015
  4. Hacker steuern Jeep Cherokee fern

Hacker steuern Jeep Cherokee fern

22.07.2015 06:20 Uhr Ronald Eikenberg
vorlesen
Jeep Cherokee

Durch eine Schwachstelle im Infotainmentsystem konnten Sicherheitsforscher die Kontrolle über einen Jeep übernehmen – über das Internet. Anfällig sind möglicherweise weitere Modelle des Fiat-Chrysler-Konzerns. Ein erstes Update schafft Abhilfe.

In dem Uconnect-Infotainmentsystem von Fiat Chrysler soll eine kritische Schwachstelle klaffen, durch die ein Angreifer das damit ausgestattete Fahrzeug über das Internet fernsteuern kann. Den Sicherheitsforscher Charlie Miller und Chris Valasek ist es offenbar gelungen, über das Netz auf die Diagnose-Schnittstelle (CAN-Bus) einiger Fahrzeugmodelle zuzugreifen.

Auto fremdgesteuert

So hatten sie aus der Ferne unter anderem die Kontrolle über Bremsen, Beschleunigung, Türverriegelung, Klimaanlage und Scheibenwischer. Im Rückwärtsgang soll sich sogar das Lenkrad fernsteuern lassen. Zudem soll es ohne Zustimmung des Fahrzeuginhabers möglich sein, den genauen Aufenthaltsort der betroffenen Fahrzeuge zu bestimmen. Gegenüber Wired demonstrierten die Forscher dies an einem Jeep Cherokee, dessen eingeweihter Fahrer nach und nach die Kontrolle über das Fahrzeug verlor. Schließlich landete das kompromittierte Vehikel in einem Graben.

Anzeige

Zugriff über Mobilfunk

Das Uconnect-System in den PKW ist in den USA über den Mobilfunkprovider Sprint mit dem Internet verbunden. Um darauf zugreifen zu können, mussten sich die beiden Sicherheitsforscher ebenfalls mit Sprint verbinden. Zu Fiat Chrysler Automobiles (FCA) gehören neben Fiat und Chrysler auch die Marken Alfa Romeo, Dodge, Jeep, Lancia, Ferrari und Maserati. Eine vollständige Übersicht der betroffenen Marken und Modelle existiert derzeit nicht. heise Security hat bei FCA angefragt, ob und welche Fahrzeuge auf dem deutschen Markt betroffen sind. Laut der deutschsprachigen Ausgabe der Uconnect-Webseite wird das System zumindest für zahlreiche hiesige Modelle angeboten.

Update für Autos

Miller und Valasek stehen bereits seit neun Monaten mit dem Fahrzeughersteller in Kontakt und wollen weitere Details auf der diesjährigen Black-Hat-Konferenz preisgeben, die ab dem 1. August in Las Vegas stattfindet. Zumindest für den Jeep Cherokee steht seit wenigen Tagen ein Update bereit, welches die Lücke schließt. Allerdings wird es laut den Forschern nicht automatisch eingespielt, sondern muss von dem Fahrzeugbesitzer per USB-Stick oder einer Werkstatt installiert werden.

Auch andere Autokonzerne sind vor Schwachstellen in ihren Bordsystemen nicht gefeit: Zuletzt war BMW mit seinem Bordsystem ConnectedDrive in den Schlagzeilen, nachdem es einem Sicherheitsexperten im Auftrag des ADAC unter anderem gelang, Fahrzeuge unberechtigterweise aufzuschließen. (rei)

Kommentare lesen (337 Beiträge)

Forum zum Thema: Diverses

https://heise.de/-2756331 Drucken
Mehr zum Thema:
Black Hat Hacking Sicherheitslücken
Anzeige
Dienste
  • Security Consulter
  • Netzwerkcheck
  • Anti-Virus
  • Emailcheck
  • Browsercheck
  • Krypto-Kampagne
Anzeige
Alerts! alle Alert-Meldungen

Drupal (CKEditor)

Cisco-Produkte

Oracle Critical Patch Update

Update
Anzeige
  • 5 IT-Trends, die Sie auf dem Schirm haben sollten
  • Arbeitgeber Bewerbungen: Heise Karriere-Netzwerk
  • enterJS: Die volle Bandbreite an JavaScript-Wissen
  • Unter der Lupe: Hardware für den Endgeräteschutz
  • Wie Endgeräteschutz die IT-Sicherheit verbessert
  • Geldanlage: von Mensch und Maschine profitieren
  • DSGVO: Was nach dem 25. Mai noch zu tun ist
  • Special: DSGVO Ratgeber
  • Interessante Jobangebote - IT-Jobtag in Leipzig!
Artikel
Übersicht: Diese Webseiten bieten Zwei-Faktor-Authentifizierung

Übersicht: Diese Webseiten bieten Zwei-Faktor-Authentifizierung

Vor allem Online-Shops und soziale Netzwerke sollte neben dem Passwort noch einen zweiten Faktor zum Einloggen fordern. Eine Webseite zeigt übersichtlich an, welche Online-Services dieses Anmeldeverfahren bieten.

Lesetipp
Leben vom Verkauf geklauter Passwörter

Leben vom Verkauf geklauter Passwörter

Das Geschäft mit geleakten Login-Daten boomt: Betrüger machen damit innerhalb von wenigen Monaten mehrere 100.000 US-Dollar.

Lesetipp
Malware-Analyse - Do-It-Yourself

Malware-Analyse - Do-It-Yourself

Bauen Sie Ihre eigene Schadsoftware-Analyse-Sandbox, um schnell das Verhalten von unbekannten Dateien zu überprüfen. Dieser Artikel zeigt, wie das mit der kostenlosen Open-Source-Sandbox Cuckoo funktioniert.

Hintergrund
Neueste Forenbeiträge
  1. So ein erfolgreicher Exploit
    Findet sich wie immer wo? Genau, GitHub & Friends. Für jeden Blödel zum testen.

    Forum:  Responsible Disclosure? Google veröffentlicht ungepatchte Win-10-Lücke

    Mirror hat keinen Avatar
    von Mirror; vor 36 Minuten
  2. Re: Microsoft verspricht Wartung, Anwender warten auf die Patches
    Da Microsoft im Allgemeinen Updates nur 1x pro Monat ausliefert und das weithin bekannt ist, ist etwas mehr als 1 Monat durchaus angebracht.

    Forum:  Responsible Disclosure? Google veröffentlicht ungepatchte Win-10-Lücke

    Avatar von Mastacheata
    von Mastacheata; vor einer Stunde
  3. Re: Googles Disclosure-Policy zu streng oder einfach konsequent?
    Dann gibt es für den Hersteller kaum einen Grund das zügig zu fixen. Lücken bleiben dadurch länger offen. Es wird ja "gewartet", länger muss…

    Forum:  Responsible Disclosure? Google veröffentlicht ungepatchte Win-10-Lücke

    Starfire2009 hat keinen Avatar
    von Starfire2009; vor einer Stunde
nach oben
News und Artikel
  • News
  • 7-Tage-News
  • News-Archiv
  • Hintergrund-Artikel
  • Alert-Meldungen
Service
  • Newsletter
  • Tools
  • Foren
  • RSS
  • mobil
Dienste
  • Security Consulter
  • Netzwerkcheck
  • Anti-Virus
  • Emailcheck
  • Browsercheck
  • Krypto-Kampagne
  • Datenschutzhinweis
  • Impressum
  • Kontakt
  • Mediadaten
  • 1552862
  • Content Management by InterRed
  • Copyright © 2018 Heise Medien