Erstellt am: 28. 7. 2015 - 19:00 Uhr

Sicherheitsupdate von Chrysler gefährlicher als Hack

Zum Schließen einer Sicherheitslücke, die eine Fernsteuerung des Autos ermöglichen könnte, bot Chrysler den Download von ".exe"- und ".zip"-Dateien für die Autoelektronik an.

Der erfolgreiche Hackangriff auf einen fahrenden PKW hat eine breite Öffentlichkeit rund um die Welt aufgeschreckt. Bei Sicherheitsexperten, die ein solches Szenario bereits seit Jahren prognostizieren, sorgte erst die Reaktion des Herstellers für Gänsehaut. Bevor sich Fiat Chrysler nämlich zum Rückruf von 1,4 Millionen betroffenen PKWs entschloss, wurde den Eigentümern der Download und die Selbstinstallation eines Sicherheitsupdates angeboten.

Wie aus der wenig später wieder zurückgezogenen Web-Anleitung des Herstellers hervorgeht - eine Kopie liegt ORF.at vor - wurden die Kunden aufgefordert, eine ganze Reihe von ".exe" und ".zip"-Dateien auf ihre Privat-PCs herunterladen und dabei alle Warnungen des Betriebssystems zu ignorieren. Sodann sollten die Dateien auf einem USB-Stick installiert werden, über den das "Sicherheitsupdate" in den Bordcomputer des Wagens eingespielt werde. Ein solches Prozedere im Jahr 2015 anzubieten, sei "hochgradig dilettantisch" und potenziell weit gefährlicher als die Sicherheitslücke selbst, sagte Joe Pichlmayr von der österreichischen Security-Firma Ikarus zu ORF.at.

Chrysler/Uconnect

"Lasst alle Vorsicht fahren"

Damit würden die Chrysler-Kunden aufgefordert, alle seit den späten 90er Jahren gültigen, einfachen Grundregeln der PC-Sicherheit zu ignorieren, sagte Pichlmayr. Im Jahr 2015 Kunden zu empfehlen, Warnungen des Windows-Betriebssystems nicht zu beachten und unüberprüfte Dateien Dritter, noch dazu vom Typ ".exe", auszuführen, sei sträflich fahrlässig.

Seit dem Beginn der Virus-Entwicklung in den 90er Jahren sei ".exe" das "klassische" Dateiformat für Schadsoftware, fast ebensolange würde ".zip"-Komprimierung als einfache Tarnmaßnahme für gefährliche, weil ausführbare Dateien benützt. Dass derselbe Vorgang nun in Autowerkstätten stattfinde, sei keineswegs ein Beruhigungsgrund, so Pichlmayr, wenn dort ein einziger infizierter PC genüge, um alle Kundenautos zu kompromittieren.

Angriffspunkt Entertainment

Der Angriff auf das "Uconnect" genannte Steuerungssytem ist um ein Vielfaches komplexer, er ist zwar in seinen Grundzügen, nicht aber in seinen Details bekannt. Verständlicherweise lehnte der Hersteller nähere Auskünfte dazu ab. Details werden die beiden Auto-Hacker erst Anfang August auf der Sicherheitskonferenz BlackHat in Las Vegas bekanntgeben. Die Angreifer drangen jedenfalls über eine mobile Funkverbindung in die Unterhaltungselektronik eines Jeeps in das System ein.

Chrysler

Da dieses Entertainment-Modul über den sogenannten CAN-Bus mit der gesamten Bordelektronik verbunden ist, war es möglich, einen bestimmten, nicht näher genannten Chip, der in allen betroffenen Modellreihen verbaut ist, mit einer manipulierten Software zu überschreiben. Damit konnten die Angreifer beliebige Steuerbefehle an Motor, Bremsen oder Beleuchtung übermitteln, der Jeep von Wired-Reporter Andy Greenberg landete letztlich im Straßengraben, weil die Bremsen elektronisch deaktiviert worden waren.

Komplexer "Proof of Concept"

Greenberg hatte seinen Wagen als Versuchsobjekt für diese erfolgreiche Demonstration eines Hack-Angriffs zur Verfügung gestellt. Um den Jeep fernzusteuern, mussten ihn die Angreifer vollständig übernehmen, der Angriff musste daher mit dem entsprechenden Aufwand betrieben worden sein. Die Erklärung von Chrysler, dass dieser Angriff enormes Spezialwissen voraussetze und nur unter bestimmten Netzwerkanbindungen möglich sei, stimmt in diesem Fall. Es war ein sogenannter "Proof of Concept"-Hack, der praktische Nachweis, dass in die Bordelektronik dieser Modelle auch von fern eingedrungen werden und die Fahrzeugsteuerung in weiten Teilen kontrolliert werden kann.

Chrysler

Das Tutorial sieht vor, dass der Eigentümer eines der 1,4 Millionen betroffenen Modelle zuerst einen Downloadmanager der Firma Akamai installiert: Dateiname ist "installer.exe", Sicherheitswarnung von Windows ignorieren - "klick". Da Akamai ein Carrier ist, der an allen US-Netzwerkknoten Datenzentren unterhält, wird durch diesen Vorgang wenigstens insofern ein Sicherheitsgewinn erzielt, denn so ist weitgehend sicher, dass zumindest die Originaldateien von Chrysler heruntergeladen werden.

Ein-Faktor-Authentifierung

Dieser Sicherheitsgewinn wird allerdings sofort zumichte gemacht, falls der Webbrowser auf dem PC des Autoeigentümers mit dem Akamai-Manager nicht kompatibel ist, denn dann lassen sich die Dateien offenbar von einem FTP-Server auch direkt herunterladen. Die Eingabe der 17-stelligen Fahrgestellnummer des PKWs auf der "Uconnect"-Website von Chrysler genügt, um den Fahrzeugtyp zu identifizieren, und wie es aussieht, ist kein weiterer Gegencheck vorgesehen.

Chrysler

Im Sicherheitsjargon nennt sich das "Ein-Faktor-Authentifizierung", wobei seit mehr als einem Jahrzehnt die Regel gilt, dass eine Authentifizierung mit wenigstens zwei Faktoren als Mindeststandard nötig ist. Hier wird also nur die Identität des Wagens selbst verifiziert, nicht aber die Identität des Eigentümers. Ob die Bordelektronik über einen Mechanismus verfügt, die Authentizität der eingespielten "Sicherheitsupdates" zu überprüfen - also ob die Software tatsächlich von Chrysler stammt - ist derzeit nicht bekannt.

"Sicherheit" kommt nicht vor

Bei einem Autohersteller, der empfiehlt, "Sicherheitssoftware" für sein Produkt irgendwo am Straßenrand womöglich von einem FTP-Server auf einen Privat-PC herunterzuladen und über einen beliebigen USB-Stick in die Steuerungselektronik des Wagens einzuspielen, ist ein solcher Überprüfungsmechanismus nicht zu erwarten. Im gesamten Tutorial für das "Sicherheitsupdate", das nur "Update" heißt, kommt der Begriff "Security" keine einziges Mal vor, auch auf der Uconnect-Website sucht man ihn vergebens. Dort ist ausschließlich davon die Rede, wie komfortabel alle von Chrysler angebotenen Features für den Fahrer sind.

Chrysler

"Ein solches Update-Modell ist natürlich massiv angreifbar, von allen Seiten" sagt Pichlmayr. Dafür müsse man den Hack längst nicht so weit treiben, wie es für diesen Konzeptnachweis praktiziert wurde. "Es wird nicht lange dauern, bis die ersten Phishing-Spams auftauchen, wobei diese Mails dann eben nicht mehr angeblich von PayPal, eBay oder DHS, sondern von einem Autohersteller stammen. Ein Downloadlink in dieser Mail zu einer ".zip" oder gar ".exe"-Datei würde dann für den Adressaten auch plausibel erscheinen, wenn der Autohersteller selbst Dateien dieses Typs verschickt.

Weitere Expertenstimmen

"Ganz offensichtlich glaubten die Autohersteller bis jetzt, dass die vernetzten Computer in ihren Wagen aus irgendeinem magischen Grund von den Problemen verschont werden, mit denen alle übrigen vernetzten Computersysteme zu kämpfen haben", schrieb der Mathematiker und Kryptografie-Experte Matt Blaze in einer ersten Reaktion auf diesen Hack.

Angesichts des Wildwuches "vernetzter Warn-, Assistenz- und Kontrollsysteme" in modernen Autos sei er geradezu erleichtert, ѕchrieb der erfahrene Motorjournalist David Staretz auf Anfrage von ORF.at, "dass diese Außengelenktheit ab jetzt in aller Brutalität des Fremdeingriffes" sichtbar werde. Nun werde die Autoindustrie wahrscheinlich versuchen, noch vernetzter, noch undurchdringlicher zu werden, bis sich gar nichts mehr bewegen wird. Und dann", so Staretz "werde ich meinen uralten Landrover aus der Garage holen."

"Entsperren, starten, streamen"

"Abonnieren Sie das gute Leben" heißt es dagegen bei Fiat Chrysler, "Benützen Sie ihr Smartphone, um ihr Auto zu entsperren, starten Sie den Motor Ihres Wagens, wo immer Sie auch selber sind, über ihren PC oder ihre Smartphone-App. Streamen Sie ihre Lieblingsmusik direkt vom Smartphone in ihr Bordentertainmentsystem." Der neueste dieser Services von Chrysler, die alle entsprechendes Aufgeld kosten, ist ein WLAN-Accesspoint im Auto, den auch die Mitfahrer benutzen können. Für dieses Feature, das auf jedem Smartphone mittlerweile Grundausstattung ist, verlangt Chrysler an die dreißig Dollar im Monat. Es ist durchaus wahrscheinlich, dass der gehackte Jeep über genau dieses neue Feature WLAN-Accesspoint aus einem zweiten Auto, das hinterher fuhr, angegriffen wurde.