Home      Themenübersicht / Sitemap      Webmaster      

 


Von Hacker-Angriffen auf Autos und Verkehrsinfrastruktur bis zu autonomen Fahrzeugen und vernetzter intelligenter Verkehrsinfrastruktur

Letzte Änderungen: Nov. 2018

Hier zur Einstimmung ein Video das die Unsicherheit moderner Autos zeigt: Autodiebe knacken Mercedes mit elektronischem Gerät - Autodiebstahl ganz ohne rohe Gewalt.

Die eigentliche Ursache, warum das heute so leicht möglich ist diskutiert dieser Artikel Experimental Security Analysis of a Modern Automobile (pdf). Er zeigt, wie leicht angreifbar moderne Autos mit ihren 50 - 70 integrierten Prozessoren (embedded systems) sind. Diese Prozessoren werden typischerweise mittels CAN-Bus miteinander gekoppelt, an dem nicht nur Systeme wie Engine Control Module, Electronic Brake Control Module, Transmission Control Module und Body Control Module angeschlossen sind, sondern auch das Autoradio (das zumeist auch verwendet wird um alle Blinker- und Warngeräusche zu erzeugen und daher eng mit den anderen Fahrzeugprozessoren gekoppelt sein muss), die Klimananlage, die Airbags, die Diebstahlsicherung, das Navi, die Instrumentierung im Armaturenbrett, der elektronische Türöffner und das Telematic-Module, das über GSM (Handy) eine Lokalisierung und Blockierung des gestohlenen Autos erlaubt.

Okt. 2014: Studie zum Risiko "Handynutzung im Auto", auch bei Nutzung einer Freisprecheinrichtungwn.

Nov. 2014: Ein sehr interessanter und umfassender Artikel zu Fahrzeug-Elektronik: Der Kampf ums Cockpit. Viele technische Details, auch zum Paradigmenwechsel von fahrer-zentriert zu computer-zentriert

Sommer 2015: Eine 99-seitige Studie zu Adventures in Automotive Networks and Control Units

April 2015: Autodiebe machen sich bei Fahrzeugen mit elektronischen Schlüsseln die Hände nicht mehr schmutzig. Hier ein Artikel über die wachsende Zahl von Diebstählen mittels Elektronik.

2017: Das Polizeivideo zeigt einen Relay-Angriff zum Stehlen eines Fahrzeugs. Im Video ist zu sehen wie die Angreifer mit passender Elektronik die Schlüsselsignale verstärken und innerhalb von Minuten mit dem Auto weg sind. Auch die Tatsache, dass sie dabei gefilmt wurden, hilft niemandem weiter, die Täter sind nicht gefasst worden.

Der folgende wissenschaftliche Artikel beschreibt, wie ein einfacher Signalverstärker das Signal des echten Schlüssels so verstärkt, dass der Wagen sich öffnet und startbereit ist, ohne dass der Eigentümer in der unmittelbaren Nähe ist: Relay Attacks on Passive Keyless Entry and Start Systems in Modern Cars.

März 2016: ADAC: Viele aktuelle Pkw-Modelle über Funk knackbar.

Juli 2016: Je mehr High-Tech drin ist, desto mehr Angriffsmöglichkeiten gibt es: Zero-day flaw lets hackers tamper with your car through BMW portal . BMW hat es nicht geschafft, die Schonfrist die die Entdecker es Problems ihnen gegeben hatten, für eine Behebung des Problems zu nutzen: BMWs ConnectedDrive ist löchrig.

August 2016: Ganz schlechte Nachricht: Schwachstellen im Design des CAN-Bus, der die Grundlage aller Kommunikation in modernen Fahrzeugen darstellt. Angreifer können unter Ausnutzung einer Feature die Geräte "abschaltet", die offenbar falsch funktionieren, dafür sorgen, dass einzelne Geräte im System ignoriert werden. Diese Funktion lässt sich nicht "patchen", das ist im Standard so vorgesehen. Hersteller können nur versuchen, mit der Situation irgendwie intelligent umzugehen.

April 2018: Infotainment-Systeme bei VW- und Audi-Modellen aus der Ferne gehackt. Dieses Beispiel zeigt 2 traurige Aspekte: erstens kann das angegriffene Teil im Wagen gar nicht harmlos genug klingen, irgendwie ist doch alles vernetzt und dann kommen die Angreifer sehr wohl auf kritische Komponenten. Zum anderen erklärt VW, dass sie die Lücke in Zukunft schließen werden. Wie die bereits seit 2016 ausgelieferten Fahrzeuge ein Update erhalten sollen, ist unklar, da die Systeme nicht per Over-The-Air-Update aktualisiert werden können. Volkswagen will sich nach einer Anfrage nicht zum geplanten Vorgehen äußern. - Wahrscheinlich soll einfach Gras drüber wachsen. Wieder ein gutes Bespiel für die Problematik die ich auch bei Internet-of-Things aufzeige: Dinge können nicht einfach so gepatcht werden wie Computer.

Die Sicherheitsphilosophie der Ingenieure bezieht sich jedoch nur auf Safety (das Vermeiden von Unfällen, z.B. bei Ausfall von Prozessoren oder des Daten-Bus, und nicht auf Security (dem Schutz gegen böswillige Datenpakete im Bus-System. Solche böswilligen Datenpakete können auf vielfältige Weise in das Datennetz kommen. Ein möglicher Weg wäre der Anschluss eines kleinen Computers (z.B. ein iPhone) an den Diagnosestecker unter dem Armaturenbrett. Ein anderer Weg geht über die drahtlosen Systeme die an den Bus angschlossen sind, z.B. den Türöffner und das Telematic Module.

Fragen der gesellschaftlichen Auswirkungen von autonomen und/oder vernetzten Fahrzeugen werden auf meiner anderen Website behandelt.

Dort findet sich auch der Spezialfall Ethik autonomer Fahrzeuge mit einem Link zu einem (Youtube-)Vortrag dazu von mir

Ebenfalls relevant sind alle Probleme, die ich in meinen Artikeln zu Internet of Things (IoT) aufzeige. Denn natürlich sind die Autos ein weiteres Objekt in Internet der Dinge.

Eine weitere Angriffsmöglichkeit sind Geräte die nicht vom Hersteller stammen, z.B. Autoradios und Navis die von vielen Anbietern verfügbar sind und auch mit vielen anderen Prozessoren kommunizieren müssen (z.B. um zu wissen ob Blinkergeräusche erzeugt werden müssen).

Die Spezifikationen des CAN-Bus besagen, dass Signale nur von autorisierten Systemen akzeptiert werden sollen, aber den Testern der beiden Universitäten ist es gelungen, über jede der Angriffspfade alle Prozessoren beliebig anzusprechen. So konnten sie z.B. einzelne Räder gezielt blockieren, die Bremse vollständig deaktivieren, das Auto hupen lassen, vollständig deaktivieren, oder auch dafür sorgen dass es trotz abgezogenen Schlüssels immer weiter lief. Diese böswilligen Signale können auch ganz gezielt eingesetzt werden wenn das Fahrzeug bestimmte Betriebszustände erreicht, z.B. bei einer bestimmten Geschwindigkeit. Auch hier sagt wiederum die Spezifikation, dass z.B. die Bremsen ein Deaktivierungskommando nur akzeptieren dürfen, wenn das Fahrzeug steht, aber auch diese Sicherheitsregeln waren in den beiden Testfahrzeugen nicht implementiert.

Immer grüne Welle - Angriffe auf Verkehrsampeln

Eine Studie in den USA hat untersucht, ob Angreifer sich so in die Vernetzungen zwischen den Ampelanlagen an den Kreuzungen reinhängen können, dass der Angreifer immer grüne Welle hat. Die kurze Antwort ist: JA.

Die untersuchten Ampelanlagen sind mittels WLAN-ähnlicher Technologien miteinander verbunden, unverschlüsselt natürlich, Authentisierung über die Default-Passworte des Herstellers, die Steuerungen mit einem offenen Debug-Port und zusätzlichen Verwundbarkeiten. Grüne Welle vor dem Fahrzeug und danach alle 4 Ampeln auf rot ist überhaupt kein Problem.

Die einzige gute Nachricht ist, dass ein Angriff den ich aus einem Science Fiction Roman aus dem 60igern oder 70igern kannte, NICHT geht: Alle 4 Ampeln gleichzeitig auf grün. Das verhindert nämlich die MUU (Malfunction Management Unit). Wenn diese bestimmte Signale erhält, die mittels Jumpern als gefährlich programmiert wurden, dann schaltet sie auf "Blinken" für alle 4 Ampeln.

Hier die Science Fiction Geschichte: ein Computer hat viele Sensoren und kann auf Grund der Verkehrssituation im Lande, dem Wetter und vielen anderen Parametern die Anzahl der Verkehrstoten des Folgetages 100% korrekt vorhersagen. Der Held der Kurzgeschichte entdeckt nach einem Unfall in den er selbst verwickelt ist, dass der Computer falls die Zahl der Toten kurz vor Mitternacht noch nicht erreicht ist, mittels Ampeltricks ("grün für alle") geeignet nachhilft. - Aber, wie gesagt: das setzt physisches "umjumpern" in der Schaltbox voraus, und das wäre "unsportlich".

Juni 2015: Neue Beispiele für Traffic Light Hacking
Die NY Times berichtet: Traffic Hacking: Caution Light Is On.

Das heißt, es gibt vielfältige Angriffsmöglichkeiten die von "nur extrem nervig" (Dauerhupton) bis tödlich reichen (Deaktivierung des Bremssystems wenn eine bestimmte Geschwindigkeit erreicht wird). Und das allerbeste für Morde durch Angriff auf den Datenbus ist, dass es den Angreifern gelungen ist, nach erfolgtem Angriff alle Spuren einer Manipulation der Systeme wieder zu überschreiben, d.h. sie konnten Programme im Speicher der Prozessoren manipulieren und nach erfolgter Tat automatisch den Originalcode wieder drüber speichern.

 

Es gäbe technische Lösungen

Bevor ich fortfahre mit Schreckensmeldungen wie unsicher die modernen Fahrzeuge sind - es gäbe natürlich technische Lösungen. Bereits im vorigen Jahrtausend wurden die notwendigen kryptographischen Verfahren (primär die asynchrone Kryptographie) entwickelt und mit deren Hilfe liese sich die Kommunikation zwischen den Komponenten im Fahrzeug und zwischen dem Fahrzeug und der Außenwelt sicher gestalten. Eine ausführliche Veröffentlichung stellt die Details dar: Cybersecurity Evaluation of Automotive E/E Architectures.

Die notwendigen Themen sind dabei: Trennung von Sicherheitsbereichen im Fahrzeug, Verankerung einer PKI (public key infrastructure, d.h. asymetrische Kryptographie), ein sicheres Trust Module im Fahrzeug, signierte SW-Updates, sicheres Starten der Software, Absicherung der Software gegen Veränderungen, Verschlüsselung und Authentisierung der vielen Verbindungen im Fahrzeug, Intrusion Detection and Prevention und Absicherung der äußeren Kommunikation. Viel allgemeiner gehalten komme ich zu den selben Ergebnissen in der Studie zu "Gesellschaftliche Aspekte vernetzter, autonomer Mobilität".

Wir (d.h. die IT-Security Entwickler) wissen seit vielen Jahrezehnten wie das technisch ginge, aber bis dies in Standardfahrzeuge kommt, das wird wohl noch Jahrzehnte dauern und noch viele Fahrzeug-Hacks und vor allem viele viele Fahrzeugdiebstähle ermöglichen.

 

Doch erst mal weiter mit den Schwachstellen - August 2010:

Das Problem mit die im Folgenden aufgezeigten Schwachstellen ist, dass sie zumeist grundsätzlicher Natur sind, d.h. nicht leicht zu durch eine einfachen SW-Patch zu beheben. Gründe sind z.B. dass viele der Komponenten auf Grund von Stromverbrauch und Größe zu wenig Rechenleistung haben um verschlüsselte und authentisierte Kommunikation zu unterstützen, bzw. dass für eine sichere Kommunikation die Grundlagen in Form eines Trust Modules fehlt, bzw. der CAN-Bus eben so funktioniert und ALLE Geräte am Bus sich an die neuen sicheren Regeln halten müssten.

Hier ein Beispiel das wohl noch lange als Problem offen bleiben wird: heise.de berichtet über eine weitere Studie zu Sicherheit elektronischer KFZ-Steuerungen: Security and Privacy Vulnerabilities of In-Car Wireless Networks: A Tire Pressure Monitoring System (TPMS) Case Study. Es geht dabei um Angriffe auf Autos über die drahtlose Verbindung zwischen den Ventilen und der Bordelektronik, die in den USA bereits jetzt Pflicht sind und in der EU sehr bald Pflicht werden.

Die Autoren finden heraus, dass es keine Absicherung gegen fremde Signale gibt. So gelingt es bei 2 gängigen Automarken in das Fahrzeugsystem einzudringen und die Reifendruckanzeigen während der Fahrt von einem anderen Auto aus zu manipulieren (damit könnte man z.B. einen Fahrer dazu zu bringen anzuhalten, was für Räuber eine gute Gelegenheit ergibt).

Ebenso konnten die Autoren die Fahrzeuge anhand der IDs der Reifendrucksensoren auch auf 40 m Entfernung noch tracken. Noch dramatischer: Im Rahmen der Tests hat die ganze TPMS-Unit irgendwann ihren Geist aufgegeben und musste kostspielig ersetzt werden, das sollte mittels "verwirrender" Dateninhalte eigentlich nicht möglich sein. 2016 zeigt eine Studie, wie schwierig es ist, so etwas abzusichern: "Security and Privacy Vulnerabilities of In-Car Wireless Networks: A Tire Pressure Monitoring System Case Study."

März 2011:
Ich glaube, das Thema wird uns noch mehr beschäftigen: Auto-Bremsen per Bluetooth und MP3-Trojaner gehackt. Dieser Angriff hat über die Freisprechanlage funktioniert, sie konnten das Fahrzeug auch über ein dem Auto noch nicht bekanntes Handy steuern. Außerdem funktionierte die Infektion über eine CD mit einer manipulierten MP3-Datei. Hier der Link zu Originalartikeln: Taking Control of Cars From Afar und With hacking, music can take control of your car. Der Angriff über Musik im 2. Artikel ist in so fern interessant, weil er "skaliert", d.h. flächendeckend eingesetzt werden kann: Der Angreifer kann die Systeme im Auto mittels einer präparierten MP3-Datei übernehmen. Der Angreifer könnte die Datei über Filesharing flächendeckend verteilen. Wenn die Datei auf eine CD gebrannt wird und im Autoradio abgespielt, dann übernimmt der Schadcode die Computer im Auto. Sofern der Wagen entsprechend ausgerüstet ist sendet er die Position des Wagens an den Angreifer (entweder über Internet-Anschluss im Auto oder GSM). Wenn dann der benachrichtigte Dieb zu Wagen kommt, so kann die Elektronik die Türen öffnen und den Wagen starten.

Noch ein Artikel über Forscher in Magdeburg die ebenfalls mehr Schutzfunktionen für die IT im Auto fordern.

August 2011:
Neuer Angriff gegen Autos: Hackers unlock car via text. Die Forscher haben per SMS die Autotüren geöffnet und den Motor gestartet. Und noch mal hier: Cars vulnerable to hack attacks.

März 2012:
Auf der Blackhat Europa Konferenz zeigen Sicherheitsexperten, wie Fahrzeuge, die mit der sog. “M2M”-Technologie ausgerüstet sind angegriffen werden können und zwar mittels SMS.

Für Autos besteht mittlerweile die gleiche Problematik wie für jeden anderen Computer: die Software muss ständig aktualisiert werden. In den USA wurden bereits 2007 mehr als 1 Mio. Autos für Software-Updates in die Werkstatt gerufen, August 2011 hat Honda allein 2 Mio Rückrufe gehabt, und Jaguar 18000 im Oktober. Um dieses Problem zu lösen hat eine Organisation, die OMA-DM (Open Mobile Alliance Device Management) einen Standard für over-the-air Software Updates für Autos entwickelt, mit deren Hilfe die Software aktualisiert werden kann ("reflashing").

Herbst 2012:
Video: Hackers steal keyless BMW in under 3 minutes. Es gibt wohl eine Diebstahlwelle von BMWs in Großbritannien, und zwar solche die keine mechanischen Schlüssel mehr nutzen. (siehe auch weiter unten)

Nach dem was ich gelesen habe sind es nicht Schwachstellen in der Elektronik die hier ausgenutzt werden, sondern die Diebe nutzen die gleiche Funktionalität mit deren Hilfe es möglich ist verlorene Schlüssel zu ersetzen. Die Prozedur dauert in der Werkstatt angeblich 30 Min aber die Diebe haben es geschafft, in 3 Minuten ohne Zugang zum Wagen einen neuen elektronischen Schlüssel zu berechnen.

Juli 2013:
Arstechnica bringt einen Bericht über Angriffe auf Autoelektronik mit Manipulation der Bremsen: Tampering with a car’s brakes and speed by hacking its computers: A new how-to.

Feb. 2014:
Spanische Forscher konnten ein kleines Modul vorstellen, das in den CAN-bus von Autos integriert wird und dann drahtlos Kommandos von Angreifern empfangen und an die Bordelektronik senden kann. Sie wollen damit die Hersteller wach rütteln, so dass diese Absicherungen, z.B. durch Authentisierung zwischen den Komponenten am Bus, einführen.

Sept. 2014:
Die NY Times berichtet über einen neuen Trend in den USA: Es werden Kredite für Autos an Personen vergeben, bei denen zweifelhaft ist, ob sie ihre Raten bezahlen können (die gleiche Geschichte wie bei den sog. Sub-Prime Hypotheken die uns die Finanzkrise beschert hat. Die "geniale" Lösung für die Kreditgeber: das Fahrzeug wird mit einem Empfänger ausgestattet der das Fahrzeug bei Zahlungsrückständen jederzeit lahmlegen kann. Außerdem ein GPS, damit das Fahrzeug leicht beschlagnahmt werden kann, oder um zu sehen, ob der Schuldner immer noch regelmäßig an die Arbeitsstätte fährt.

Die Schuldner berichten von Situationen, bei denen das Fahrzeug irgendwo auf der Straße lahm gelegt wurde, und oft auch bei nur kurzen Zahlungsverzögerungen und nicht, wie im Gesetz bzgl. "Re-posessions" vorgeschrieben bei 30 Tagen Verzug. Außerdem wird von Zinsen bis zu 29% berichtet. 2 Millionen Geräte sind derzeit im Einsatz.

Jan. 2015:
Der ADAC entdeckt, dass sich die BMWs der Serie ConnectedDrive auch ohne Schlüssel öffnen lassen, der Fehler ist in der Zwischenzeit behoben. Hier Details zum BMW Hack (bzw. weiter oben habe ich im Herbst 2012 auf ein Video eines solchen BMW-Diebstahls verlinkt. NICHT behoben ist der Angriff vom April 2015 mittels "Relay Attack", den ich ganz am Anfang erwähne.

Auch Jan. 2015:
Derzeit in den USA, aber wer weiß: Autoversicherungen bieten "Dongles" an, die in den Wartungsport des Autos gesteckt werden und die dann das Fahrverhalten, die Aufenthaltsorte und andere Daten an die Versicherung übertragen, 2 Mio der Geräte sind im Einsatz. Mit ein wenig Bastelei konnten Techniker die Firmware des Dongles modifizieren, bzw. die Elektronik der Fahrzeuge angreifen.

Juli 2015:
Erich Möchel vom ORF stellt dar, dass es Chrysler gelungen ist, aus dem überschaubaren Problem, dass Hacker über Schwachstellen im Uconnect-Infotainmentsystem einen Jeep Cherokee fernsteuern konnten, ein noch größeres Problem zu machen (hier der sehr lesenwerte ausführliche Bericht in Wired: Hackers Remotely Kill a Jeep on the Highway—With Me in It. Das Erschreckende an dem Bericht ist, dass sie nicht nur 1 einzelnes Fahrzeug übernehmen können, sondern jedes Fahrzeug, das mittels Uconnect kommuniziert - eine Flotte von Zombie-Autos).

Chrysler bot zum Patchen der Fahrzeugelektronik der 1,4 Millionen betroffenen PKWs den Download von ".exe"- und ".zip"-Dateien für die Autoelektronik an. Die Kunden wurden aufgefordert, eine ganze Reihe von ".exe" und ".zip"-Dateien auf ihre Privat-PCs herunterladen und dabei alle Warnungen des Betriebssystems zu ignorieren. Sodann sollten die Dateien auf einem USB-Stick installiert werden, über den das "Sicherheitsupdate" in den Bordcomputer des Wagens eingespielt werde. Wenn das keine Vorlage für das Einbringen von Fremdsoftware auf diesen Systemen ist!

Wenn sich diese Technik einbürgert, so wird es bald Phishing Mails geben, man solle die Software hinter diesem Link auf seinem Fahrzeug installieren. Hier die Website von Uconnect, bei der man seine 17-stellige Vehicle Identification Number (VIN) unverschlüsselt übertragen muss. Das Patchen fängt gleich gut an.

Zu den Kuriositäten zählt dann schon, wenn ein Kleinkind in Deutschland den elektronischen Autoschlüssel aus dem Fenster des Fahrzeugs wirft und daraufhin der Motor auf der Autobahn abschaltet. Moderne elektronische Schlüssel müssen nicht mehr im Fahrzeug stecken, sondern nur noch in Funkreichweite sein.

Dez. 2015:
Ein ausführlicher Artikel zu den technischen Details von OBD, dem On Board Diagnose System in allen modernen Autos. Zitat: " Die aktuellen Euro-Normen verlangen, dass bei einem überschreiten gemessener Grenzwerte das Motorsteuergerät einen kompletten Datensatz mit den eben genannten Parametern speichert und über den standardisierten OBD-Anschluss (OBD steht für On Board Diagnose) des Fahrzeugs zugänglich macht. . . . Ferner gibt es für die Hersteller einige ökonomische Gründe, Daten zu sammeln. Wer als Käufer eine Gewährleistungs- oder Garantieleistung für sein Fahrzeug möchte, dem sehen die Vertragswerkstätten schon gern in die Datenkarten. Wenn dann im Protokoll vermerkt ist, dass der Motor bereits in der Einfahrzeit bei kaltem Öl immer zu hoch gedreht wurde, haben Hersteller und Werkstatt etwas in der Hand, um Leistungen zu verweigern."

Autonome Fahrzeuge und vernetzte intelligente Verkehrsinfrastruktur

Auf meiner anderen Website behandele ich sehr viele der Herausforderungen im Bereich der autonomen Fahrzeuge und vernetzter intelligenter Verkehrsinfrastruktur in einer recht ausführlichen Darstellung.

Ebenfalls lesenswert ist natürlich meine Betrachtung zur Ethik von autonomen Fahrzeugen an anderer Stelle.

 



Philipp Schaumann, http://sicherheitskultur.at/


Home

Copyright-Hinweis:
Das Copyright des Materials auf diesen Webseiten liegt, falls kein anderer Autor genannt wird, bei Philipp Schaumann. Creative Commons License
Diese Texte sind lizensiert unter der Create Commons Attribution-Noncommercial-Share Alike 2.0 Austria Lizenz. Natürlich gelten auch die Regeln des Fair Use und über Ausnahmen bzgl. der Lizenz kann jederzeit mit den Autoren gesprochen werden.