X

Finden & Aufsperren:
Nachrüst-Alarmanlagen machen Autoklau leichter

Die Hersteller hatten mit Attributen wie "unknackbar" geworben - eine echte Zielscheibe für Sicherheitsforscher. Jetzt zeigt eine Überprüfung: Teure "smarte" Nachrüst-Alarmanlagen für PKWs der Unternehmen Pandora Alarms und Viper können grobe Sicherheitsmängel mitbringen, die das Auto sogar noch gefährdeter zurücklassen, als ohne diese Geräte.
12.03.2019  15:37 Uhr

Der Alarm, der das Auto erst so richtig in Gefahr bringt

Das Wort "unknackbar" ist das "unsinkbar" der IT-Welt. Jetzt zeigt sich einmal mehr, dass Hersteller wohl darauf verzichten sollten, mit diesem Attribut für ihre Produkte Werbung zu machen - vor allem, wenn sich bei genauem Hinsehen das genaue Gegenteil als richtig erweist. Sicherheitsforscher der Firma Pen Test Partners hatten sich laut Bericht von heise nach vollmundiger Versprechen der Nachrüst-Alarmanlagen-Hersteller Pandora Alarms und Viper deren Produkte vorgenommen und gravierende Sicherheitsmängel festgestellt, von denen bis zu 3 Millionen Fahrzeuge weltweit betroffen sein sollen. Wie die Sicherheitsexperten ausführen, fanden sie unter dem Markennamen Pandora Alarms gleich mehrere Systeme, die angreifbar waren, auch das System Viper Smart Start ist demnach nicht gegen Angriffe geschützt. Das Problem: Um smarte Funktionen bereitstellen zu können, werden die Produkte direkt mit dem CAN-Bus der Fahrzeuge verbunden und ermöglichen so die Steuerung von Zentralverriegelung bis hin zu Motoreigenschaften.

Durch eine sehr schlechte Absicherung der entsprechenden APIs der Systeme, war es auf diesem Weg bei beiden Herstellern möglich, einen Angriff aus dem öffentlichen Netz zu starten und weitreichende Kontrolle zu übernehmen: "Es ist möglich, ein spezifisches Fahrzeug zu orten und ihm zu folgen, es dann zum Anhalten zu zwingen und die Türverriegelung zu öffnen", so die Forscher. Besonders gravierend: Bei manchen Modellen wäre es Angreifern sogar möglich, während der Fahrt die Cruise-Control-Systeme zu manipulieren, um beispielsweise die Geschwindigkeit aus der Ferne zu steuern.

Fehler behoben

Pen Test Partners hat die Hersteller über die gravierenden Probleme informiert und ihnen sieben Tage Zeit gelassen, diese vor der Veröffentlichung zu beheben. Wie die Forscher ausführen, würde man normalerweise Herstellern 90 Tage Zeit für einen Fix gewähren, "die Sicherheitslücken waren aber einfach zu finden und einfach zu reparieren". Beide Hersteller haben die beschriebenen Lücken in ihren Systemen umgehend geschlossen.
☀ Tag- / 🌙 Nacht-Modus
Desktop-Version anzeigen
Impressum
Datenschutz
Cookies
© 2024 WinFuture