Kaspersky warnt
Trojanisches Pferd auf dem Beifahrersitz
Datum:09.09.2011
Autor(en):Ronald Wiltscheck
Kaspersky Lab hat eine neue Plattform für die eigenen Security-Produkte entdeckt:
das Auto. Denn der PKW wird mit immer mehr Software bestückt, und diese ist vor Angriffen
der bösen Cyberkriminellen nicht sicher.
Kaspersky Lab1 hat eine neue Plattform für die eigenen Security-Produkte2 entdeckt: das Auto. Denn der PKW wird mit immer mehr Software bestückt, und diese ist vor Angriffen der bösen Cyberkriminellen nicht sicher.
Autohersteller wie BMW und Zulieferer wie Conti sehen Auto-Infotainment als zukünftigen Schlüssel zum Erlebnis der PKW-Marke. Farbige Displays haben sich in der Mitte des Armaturenbretts festgesetzt und dienen der Ausgabe von Navigationsdaten, dem Sprung ins Internet oder einfach zum Fernsehen3. Die Unterhaltungselektronik im Auto, Offboard-Navigation und Telefonie4 sowie der Anschluss an soziale Netzwerke wird mit Oberflächen ähnlich Googles Android gesteuert - etwa wie beim Saab5, der aber nicht mehr produziert wird, weil die schwedische GM-Tochter Insolvenz anmelden musste.
Sobald die Verbindung des Autos und seines Infotainment-Centers zum Internet hergestellt ist, liegt die Möglichkeit einer Infektion mit Viren und Trojanern wie bei PCs und Smartphones auf der Hand. Haben wir also bald Trojanische Pferde6 als Mitfahrer zu befürchten?
Es ist schlimmer, als der gewöhnliche Autofahrer ahnt. Der Computer im Infotainment-Center ist nämlich keineswegs der erste Rechner im Auto, sondern einer der letzten. Heute hausen in einem Auto 20 bis 80 Steuersysteme7, angetrieben von unterschiedlicher Software und verbunden über einen gemeinsamen Datenbus wie dem gebräuchlichen CAN-Bus, dem neuen MOST und FlexRay8, Der Grund für die elektronische Aufrüstung liegt im Bestreben der Autoindustrie, ihre Autos sparsamer und sicherer zu machen, manchmal auch narrensicher.
[Hinweis auf Bildergalerie: Die wichtigsten Security-Anbieter in D] gal1
Motorsteuerung, ABS, ESP - alles durch Software
Die Steuerung des Motors erfolgt durch eine Motronic, die Verbesserung der Sicherheit durch die Bremshilfe ASB und den Schleuderassistenten ESP. Vom neuerdings verfügbaren Spurassistenten ist es nicht mehr weit bis zur Google-Vision vom Auto ohne Chauffeur9 und Entmündigung der Lenker am Steuer. "Diese Apparaturen und Applikationen sind noch Neulinge in der Welt der Automobil-Technologie. Viele Fahrer der alten Schule möchten diese computerartige Hardware vielleicht gar nicht in ihrem Auto haben. Das haben sie jedoch bereits, auch wenn sie es meist gar nicht merken", meint Vicente Diaz, Virenanalyst bei Kaspersky Lab10. Diaz hat sich in einer aktuellen Analyse11 dediziert mit dem Thema IT-Sicherheit in Autos gewidmet.
Zu den zahlreichen Prozessoren kommt nicht wenig an Software. Im kommenden Opel Ampera, der in Gleiwitz hergestellt wird, sollen es rund zehn Millionen Zeilen Quellcode sein. Das liegt mengenmäßig auf dem Niveau eines Windows NT 4.0 (welcher Mitte der Neunziger Jahre erschien) mit damals rund zwölf Millionen Zeilen Quellcode. Leider dürfte das sicherheitstechnische Niveau dieser Architekturen noch unter dem des guten alten Windows NT liegen.
Das haben Studenten der University of Washington und der University of California San Diego erfolgreich erprobt. Sie haben durch Analyse und Manipulation der Datenpakete (mittels Fuzzing-Techniken) volle Kontrolle über alle möglichen Untersysteme eines Autos erlangt - unter anderem die Bremsen - und Schadcode in die Telematik-Einheit eingebettet. Die rudimentären Netzwerk-Schutzmechanismen haben sie einfach umgangen12. Doch nicht nur gewitzte Studenten hacken Autos, sondern auch deutsche Opel-Kunden ihren Zafira.
Nach Recherchen der Zeit13 knackt ein Code den Bordcomputer, der dann auch aufpreispflichtige Features der Bordelektronik gehorsam anbietet.. Die oben erwähnten Studenten wendeten klassische Techniken von Cyberkriminellen an und versahen eine MP3-Musikdatei mit einem Virus. Oft genug ist es auch der Leichtsinn der Autoelektroniker - so plaudert der neue Nissan Leaf den genauen Aufenthaltsort und die Fahrweise per RSS-Feed aus14. Es zeigt sich also, dass Autos heute noch anfälliger gegen Angriffe von Cyberkriminellen sind als viele Desktop-Computer. (rw)
Links im Artikel:
1 http://www.kaspersky.de/2 https://www.channelpartner.de/channelcenter/security/2388108/index.html
3 https://www.channelpartner.de/channelcenter/security/2388184/index.html
4 https://www.channelpartner.de/channelcenter/security/2388245/index.html
5 http://blog.gsmarena.com/sneak-peak-at-saabs-android-powered-iq-on-infotainment-system-video/
6 https://www.channelpartner.de/channelcenter/security/2387967/index.html
7 http://de.wikipedia.org/wiki/Automobilelektronik
8 https://www.tecchannel.de/netzwerk/lan/1735234/flexray_flexibler_highspeed_datenbus_im_auto/index6.html
9 http://googleblog.blogspot.com/2010/10/what-were-driving-at.html
10 http://www.kaspersky.de/
11 http://newsroom.kaspersky.eu/de/texte/detail/article/der-androide-im-auto-it-sicherheit-beim-fahren/?no_cache=1&cHash=b3c8e3a4f27005e68d713d6cd16cef30
12 http://www.autosec.org/pubs/cars-oakland2010.pdf
13 http://www.zeit.de/2011/32/Hardware-Hacker
14 http://seattlewireless.net/~casey/?p=97
Alle Rechte vorbehalten. Jegliche Vervielfältigung oder Weiterverbreitung in jedem Medium in Teilen oder als Ganzes bedarf der schriftlichen Zustimmung der IDG Tech Media GmbH. dpa-Texte und Bilder sind urheberrechtlich geschützt und dürfen weder reproduziert noch wiederverwendet oder für gewerbliche Zwecke verwendet werden. Für den Fall, dass auf dieser Webseite unzutreffende Informationen veröffentlicht oder in Programmen oder Datenbanken Fehler enthalten sein sollten, kommt eine Haftung nur bei grober Fahrlässigkeit des Verlages oder seiner Mitarbeiter in Betracht. Die Redaktion übernimmt keine Haftung für unverlangt eingesandte Manuskripte, Fotos und Illustrationen. Für Inhalte externer Seiten, auf die von dieser Webseite aus gelinkt wird, übernimmt die IDG Tech Media GmbH keine Verantwortung.