Standort: fm4.ORF.at / Meldung: "Sicherheitsupdate von Chrysler gefährlicher als Hack"

Musik, Film, Heiteres

Erich Möchel

Netzpolitik, Datenschutz - und Spaß am Gerät.

28. 7. 2015 - 19:00

Sicherheitsupdate von Chrysler gefährlicher als Hack

Zum Schließen einer Sicherheitslücke, die eine Fernsteuerung des Autos ermöglichen könnte, bot Chrysler den Download von ".exe"- und ".zip"-Dateien für die Autoelektronik an.

Der erfolgreiche Hackangriff auf einen fahrenden PKW hat eine breite Öffentlichkeit rund um die Welt aufgeschreckt. Bei Sicherheitsexperten, die ein solches Szenario bereits seit Jahren prognostizieren, sorgte erst die Reaktion des Herstellers für Gänsehaut. Bevor sich Fiat Chrysler nämlich zum Rückruf von 1,4 Millionen betroffenen PKWs entschloss, wurde den Eigentümern der Download und die Selbstinstallation eines Sicherheitsupdates angeboten.

Hinweis
Betroffen sind ausschließlich Chrysler-Modelle verschiedener Marken in den USA.

Wie aus der wenig später wieder zurückgezogenen Web-Anleitung des Herstellers hervorgeht - eine Kopie liegt ORF.at vor - wurden die Kunden aufgefordert, eine ganze Reihe von ".exe" und ".zip"-Dateien auf ihre Privat-PCs herunterladen und dabei alle Warnungen des Betriebssystems zu ignorieren. Sodann sollten die Dateien auf einem USB-Stick installiert werden, über den das "Sicherheitsupdate" in den Bordcomputer des Wagens eingespielt werde. Ein solches Prozedere im Jahr 2015 anzubieten, sei "hochgradig dilettantisch" und potenziell weit gefährlicher als die Sicherheitslücke selbst, sagte Joe Pichlmayr von der österreichischen Security-Firma Ikarus zu ORF.at.

Ausschnitt aus der Website von Uconnect

Chrysler/Uconnect

"Lasst alle Vorsicht fahren"

Damit würden die Chrysler-Kunden aufgefordert, alle seit den späten 90er Jahren gültigen, einfachen Grundregeln der PC-Sicherheit zu ignorieren, sagte Pichlmayr. Im Jahr 2015 Kunden zu empfehlen, Warnungen des Windows-Betriebssystems nicht zu beachten und unüberprüfte Dateien Dritter, noch dazu vom Typ ".exe", auszuführen, sei sträflich fahrlässig.

Aktuell dazu in ORF.at
Direkt nach der Publikation des Hacks am Donnerstag und dem Rückruf der Fahrzeuge wurde Fiat Chrysler wegen fehlerhafter Rückrufe bei einem anderen Defekt zu einer Strafe von 105 Millionen Dollar verdonnert.

Seit dem Beginn der Virus-Entwicklung in den 90er Jahren sei ".exe" das "klassische" Dateiformat für Schadsoftware, fast ebensolange würde ".zip"-Komprimierung als einfache Tarnmaßnahme für gefährliche, weil ausführbare Dateien benützt. Dass derselbe Vorgang nun in Autowerkstätten stattfinde, sei keineswegs ein Beruhigungsgrund, so Pichlmayr, wenn dort ein einziger infizierter PC genüge, um alle Kundenautos zu kompromittieren.

Angriffspunkt Entertainment

Der Angriff auf das "Uconnect" genannte Steuerungssytem ist um ein Vielfaches komplexer, er ist zwar in seinen Grundzügen, nicht aber in seinen Details bekannt. Verständlicherweise lehnte der Hersteller nähere Auskünfte dazu ab. Details werden die beiden Auto-Hacker erst Anfang August auf der Sicherheitskonferenz BlackHat in Las Vegas bekanntgeben. Die Angreifer drangen jedenfalls über eine mobile Funkverbindung in die Unterhaltungselektronik eines Jeeps in das System ein.

Software für den Jeep Cherokee

Chrysler

Da dieses Entertainment-Modul über den sogenannten CAN-Bus mit der gesamten Bordelektronik verbunden ist, war es möglich, einen bestimmten, nicht näher genannten Chip, der in allen betroffenen Modellreihen verbaut ist, mit einer manipulierten Software zu überschreiben. Damit konnten die Angreifer beliebige Steuerbefehle an Motor, Bremsen oder Beleuchtung übermitteln, der Jeep von Wired-Reporter Andy Greenberg landete letztlich im Straßengraben, weil die Bremsen elektronisch deaktiviert worden waren.

Komplexer "Proof of Concept"

Das an sich für Werkstätten und nicht für Endkunden vorgesehene Tutorial war bald wieder von der Website der Firma verschwunden. Die auf solche Inhalte spezialisierte Website Cryptome hat eine Kopie der Anleitung gesichert

Greenberg hatte seinen Wagen als Versuchsobjekt für diese erfolgreiche Demonstration eines Hack-Angriffs zur Verfügung gestellt. Um den Jeep fernzusteuern, mussten ihn die Angreifer vollständig übernehmen, der Angriff musste daher mit dem entsprechenden Aufwand betrieben worden sein. Die Erklärung von Chrysler, dass dieser Angriff enormes Spezialwissen voraussetze und nur unter bestimmten Netzwerkanbindungen möglich sei, stimmt in diesem Fall. Es war ein sogenannter "Proof of Concept"-Hack, der praktische Nachweis, dass in die Bordelektronik dieser Modelle auch von fern eingedrungen werden und die Fahrzeugsteuerung in weiten Teilen kontrolliert werden kann.

Eingabemaske für Fahrgestellnummer

Chrysler

Das Tutorial sieht vor, dass der Eigentümer eines der 1,4 Millionen betroffenen Modelle zuerst einen Downloadmanager der Firma Akamai installiert: Dateiname ist "installer.exe", Sicherheitswarnung von Windows ignorieren - "klick". Da Akamai ein Carrier ist, der an allen US-Netzwerkknoten Datenzentren unterhält, wird durch diesen Vorgang wenigstens insofern ein Sicherheitsgewinn erzielt, denn so ist weitgehend sicher, dass zumindest die Originaldateien von Chrysler heruntergeladen werden.

Ein-Faktor-Authentifierung

Dieser Sicherheitsgewinn wird allerdings sofort zumichte gemacht, falls der Webbrowser auf dem PC des Autoeigentümers mit dem Akamai-Manager nicht kompatibel ist, denn dann lassen sich die Dateien offenbar von einem FTP-Server auch direkt herunterladen. Die Eingabe der 17-stelligen Fahrgestellnummer des PKWs auf der "Uconnect"-Website von Chrysler genügt, um den Fahrzeugtyp zu identifizieren, und wie es aussieht, ist kein weiterer Gegencheck vorgesehen.

Screenshot des Updates

Chrysler

Im Sicherheitsjargon nennt sich das "Ein-Faktor-Authentifizierung", wobei seit mehr als einem Jahrzehnt die Regel gilt, dass eine Authentifizierung mit wenigstens zwei Faktoren als Mindeststandard nötig ist. Hier wird also nur die Identität des Wagens selbst verifiziert, nicht aber die Identität des Eigentümers. Ob die Bordelektronik über einen Mechanismus verfügt, die Authentizität der eingespielten "Sicherheitsupdates" zu überprüfen - also ob die Software tatsächlich von Chrysler stammt - ist derzeit nicht bekannt.

"Sicherheit" kommt nicht vor

Bei einem Autohersteller, der empfiehlt, "Sicherheitssoftware" für sein Produkt irgendwo am Straßenrand womöglich von einem FTP-Server auf einen Privat-PC herunterzuladen und über einen beliebigen USB-Stick in die Steuerungselektronik des Wagens einzuspielen, ist ein solcher Überprüfungsmechanismus nicht zu erwarten. Im gesamten Tutorial für das "Sicherheitsupdate", das nur "Update" heißt, kommt der Begriff "Security" keine einziges Mal vor, auch auf der Uconnect-Website sucht man ihn vergebens. Dort ist ausschließlich davon die Rede, wie komfortabel alle von Chrysler angebotenen Features für den Fahrer sind.

Screenshopt der Software

Chrysler

"Ein solches Update-Modell ist natürlich massiv angreifbar, von allen Seiten" sagt Pichlmayr. Dafür müsse man den Hack längst nicht so weit treiben, wie es für diesen Konzeptnachweis praktiziert wurde. "Es wird nicht lange dauern, bis die ersten Phishing-Spams auftauchen, wobei diese Mails dann eben nicht mehr angeblich von PayPal, eBay oder DHS, sondern von einem Autohersteller stammen. Ein Downloadlink in dieser Mail zu einer ".zip" oder gar ".exe"-Datei würde dann für den Adressaten auch plausibel erscheinen, wenn der Autohersteller selbst Dateien dieses Typs verschickt.

Weitere Expertenstimmen

"Ganz offensichtlich glaubten die Autohersteller bis jetzt, dass die vernetzten Computer in ihren Wagen aus irgendeinem magischen Grund von den Problemen verschont werden, mit denen alle übrigen vernetzten Computersysteme zu kämpfen haben", schrieb der Mathematiker und Kryptografie-Experte Matt Blaze in einer ersten Reaktion auf diesen Hack.

Wie Authentifizierung mit zwei Faktoren funktioniert und welche Spielarten es dabei gibt, ist in der Wikipedia erklärt

Angesichts des Wildwuches "vernetzter Warn-, Assistenz- und Kontrollsysteme" in modernen Autos sei er geradezu erleichtert, ѕchrieb der erfahrene Motorjournalist David Staretz auf Anfrage von ORF.at, "dass diese Außengelenktheit ab jetzt in aller Brutalität des Fremdeingriffes" sichtbar werde. Nun werde die Autoindustrie wahrscheinlich versuchen, noch vernetzter, noch undurchdringlicher zu werden, bis sich gar nichts mehr bewegen wird. Und dann", so Staretz "werde ich meinen uralten Landrover aus der Garage holen."

"Entsperren, starten, streamen"

"Abonnieren Sie das gute Leben" heißt es dagegen bei Fiat Chrysler, "Benützen Sie ihr Smartphone, um ihr Auto zu entsperren, starten Sie den Motor Ihres Wagens, wo immer Sie auch selber sind, über ihren PC oder ihre Smartphone-App. Streamen Sie ihre Lieblingsmusik direkt vom Smartphone in ihr Bordentertainmentsystem." Der neueste dieser Services von Chrysler, die alle entsprechendes Aufgeld kosten, ist ein WLAN-Accesspoint im Auto, den auch die Mitfahrer benutzen können. Für dieses Feature, das auf jedem Smartphone mittlerweile Grundausstattung ist, verlangt Chrysler an die dreißig Dollar im Monat. Es ist durchaus wahrscheinlich, dass der gehackte Jeep über genau dieses neue Feature WLAN-Accesspoint aus einem zweiten Auto, das hinterher fuhr, angegriffen wurde.

Haftungsausschluss

Die ORF.at-Foren sind allgemein zugängliche, offene und demokratische Diskursplattformen. Die Redaktion übernimmt keinerlei Verantwortung für den Inhalt der Beiträge. Wir behalten uns aber vor, Werbung, krass unsachliche, rechtswidrige oder beleidigende Beiträge zu löschen und nötigenfalls User aus der Debatte auszuschließen. Es gelten die Registrierungsbedingungen.

Forum

Zum Eingabeformular Kommentieren

  • chipsundsoletti | vor 365 Tagen, 3 Stunden, 13 Minuten

    Ikarus: war das nicht die Firma, die uns seit 15 Jahren ein und dasselbe Produkt im Privatkundenbereich anbietet ohne nennenswerte Neuerungen? wo der mixer mehr kann als das Programm?

    Auf dieses Posting antworten
  • hollnsteiner | vor 365 Tagen, 16 Stunden, 9 Minuten

    Aufregung von Pseudospezialisten

    Ich kann @whateveryou… nur Recht geben. Die Behauptungen des Ikarus-Experten sind fragwürdig und das Thema hätte eine seriösere Recherche und Berichterstattung sehr wohl verdient, keine flache Angstmacherei um der Sensation willen.

    Wired ist nicht immer die beste Quelle für fundierte Artikel.

    Auf dieses Posting antworten
    • tantejutta | vor 365 Tagen, 9 Stunden, 16 Minuten

      Wired ist nicht die Quelle

      sondern nur der Anlass dieses Artikels, der nur über die Ereignisse _danach_ berichtet. Über das Tutorial steht kein Wort bei Wired. Der Accesspoint in den Chrysler-Systemen ist an die Breitband-Connection von Sprint angeschlossen. Es ist überhaupt nicht dokumentiert, welchen genau Weg in die Angreifer genommen hatten, Sondern nur: Die Angreifer waren irgendwie die aktuelle IP-Adresse des Wagens gekommen und das habe mit Einstellungen des Providers zu tun. Und: Alle zitierten Fakten stammen aus den Originaldokumenten von Fiat Chrysler und nicht von Wired. Sie offenbaren eine unglaubliche Inkompetenz der Firma in puncto Vernetzung und IT-Sicherheit. "Spielen sie diese exe-Datei in die Steuerung ihres Autos ein" - glaubt wirklich jemand, dass so Informationstechnologie geht?

  • schroedingerscat | vor 365 Tagen, 17 Stunden, 45 Minuten

    der Mensch wirds nie lernen

    man braucht keine Feinde, der Mensch ist seines selbst groesster Feind.

    je hoeher der Grad der Technologisierung, desto bloeder und infantiler werden die Menschen.

    am Ende hat man babies die nicht gehen koennen, aber die windel per facebook button entleeren lassen.

    auch wenn ich hier irgendwo gegen meinen eigenen Berufszweig wettere, aber eine Welt in der wir noch vernetzter sind ist ein Horror Szenario.

    ich glaub nicht dass die Programmierer und Sicherheitsanalysen versagten, das management wird einfach drueberfahren in solchen Entscheidungen weil wie man ja weiss business paramount ist.

    das ist haarscharf dieselbe Diskussion die man ueber Flugzeuge oder wenn man will sogar bei Alarmanlagen oder Toastern fuehren kann ... und keinen kuemmerts.

    auch wenns nix bewirkt a la long, ich hoffe dass diese Strafen weh tun.

    Auf dieses Posting antworten
  • whateveryoucallme | vor 365 Tagen, 20 Stunden, 52 Minuten

    .exe

    Na das Ikarus solch einen KOmmentar abliefert halte ich mal für sehr Bedenklich.

    Zu behauptet .exe wäre ein Schadformat ist schlichtweg unsinn. Richtiger formuliert, .exe wird von einem Windows System asl ausführbare datei, also programmcode automatisch assoziiert.

    das auch schadprogramme sehr oft diese extension verwenden ist zwar richtig, so aber auch jedes reguläre programm.

    würde man generell keinen .exe mehr ausführen wäre der pc doch ziemlich leer :)

    gleich mitzubehauptet zip wäre nur zur verschleierung da ist genauso inkompetent. auch wenn es manchmal zur verschleierung verwendet wird ist es doch das standard format für den austausch komprimierter dateien.

    Leute jetzt generell zu verurnsicher ist wohl eher kontraproduktiv und verspricht zudem falsche sicherheit.

    die hauptbedrohungen sind schon lange keine offensichtlichen ausführbaren dateien sondern anfällige reguläre software und nicht ausführbare datein.

    so könnte jede jpg (bild), pdf, avi/mov/wm* etc möglciherweise schadcode enthalten. schlimmer noch wirds mit activex and flash komponenten auf websites.

    auch die 1 faktor auth zum erhalt des updates ist doch relativ irrelevant zumal bestenfalls die motornummer ein zweiter faktor sein könnte. welchen sicherheitsgewinn das bringen soll muss erstmal geklärt sein

    Auf dieses Posting antworten
    • schroedingerscat | vor 365 Tagen, 17 Stunden, 29 Minuten

      das Grundproblem ist ein ganz anderes ...

      die Tatsache dass ich z.b. mit meinem laptop nah genug an deinem Funknetz bin dass ich mich in der nahen Zukunft bald mit deiner Alarmanlage, deinem Ofen, deinem Toaster, deiner Klima und deinem Auto vergnuegen kann, in einer Art und Weise wie es Kinder mit ferngesteuerten Autos tun.

      Loesung: keine (nutzlose) "Intelligenz" fuer Geraete dies nicht brauchen UND keine Einbindung ins Netzwerk.

      Speziell was sich bei Autos abspielt ist schon jenseits gut und boese. Fuer ein bisschen Entertainment wird Sicherheit aufs Spiel gesetzt. Man kann sogar weitergehen und sagen dass die Elektronik in manchen Bereichen nicht wirklich sinnvoll ist und die Mechanik das absolut befriedigend erledigte, und man keine Leute braucht die sich zum Bordcomputer verbinden und dann anstehen, wenn die Software defekt ist ist oder eine komplizierte Loesung erfordert. Im guten alten Auto hat der Mechaniker den defekten Teil einfach ersetzt.

  • canape | vor 365 Tagen, 22 Stunden,

    Errata

    In den Jeep wurde bei diesem Versuch nicht über den WLAN Accesspoint, sondern vielmehr über die Sprint Mobilverbindung des Multimediasystems eingegriffen. Nachzulesen in diesem Artikel auf den sich auch der ursprüngliche orf.at Bericht bezieht:
    http://www.wired.com/2015/07/hackers-remotely-kill-jeep-highway/

    Auf dieses Posting antworten
  • thomast | vor 365 Tagen, 22 Stunden, 58 Minuten

    Ich bin ja nun nicht der technophobste Mensch,

    aber wozu ich ein Auto per Smartphone entsperren sollte, noch dazu, wo nahezu jedes Dämlakspiel Zugriff auf fast alles des Smartphonebetriebssystems will, ist mir nicht so klar.

    Sein Auto fernzustarten mag ja noch Sinn machen, wenn man in Canada oder Sibirien wohnt.

    Ich hoffe ja schlussendlich doch, dass die Angabe des VIN eine einzigartige Signatur erzeugt, in den herunterzuladenen Dateien, verbunden mit einer Prüfsumme, die verhindert, dass manipulierte Software im Fahrzeug installiert wird.

    Und Herr Staretz sollte lieber sein Fahrrad aus der Garage holen, denn wenn "sich gar nichts mehr bewegen wird", sind die Straßen mit bewegungsunfähigen Autos vollgestellt, da kommt er auch mit seinem Landrover nicht mehr weiter, jedenfalls nicht in der Stadt.

    Und Fahrradfahren ist auch viel gesünder, außerdem wird man auch in Zukunft auf dem Fahrrad rauchen dürfen, selbst wenn Kinder auf dem Kindersitz mitfahren ... ;)

    Auf dieses Posting antworten
    • tantejutta | vor 365 Tagen, 22 Stunden, 26 Minuten

      Stimme der Ratio wie eh und je

      die wollen das offenbar, denn mit den Smartphones hat eine großangelegte Infantilisierung der Gesellschaft eingesetzt. Fetisch Auto Taschenfetisch Smartfon das ghehört einfach zusammen...

    • whateveryoucallme | vor 365 Tagen, 19 Stunden, 47 Minuten

      @tantejutta

      da gibts keien steuerung zur infantilisierung der gesellschaft, die ist infantil genug ob mit oder ohne smartphone.

      vielmehr ist es die verzweifelte suche nach dem next big thing.
      das wird das internet der dinge.

      sprich alles was strom für den betrieb braucht soll vernetzt werden.
      was dann in der theorie sogar eine menge vorteile bieten kann, mehr als nur bequemlichkeit.

      so könnten geräteausfälle vorrausgesagt, mögliche gefärdung (zb brand) im vorhinein verhindert, effiziente und transparente energieverbrauchsmessungen und effiziente energiesparmaßnahmen, bis zum gesundsheitscheck mit der inteligenten toilette.

      abgesehen von der immer älter werdenden gesellschaft und einer sehr einfachen möglichkeit normale haushaltsgeräte und einrichtung alters bzw behinderten gerecht zu machen (hier reicht ein geändertes steuerelement)

      in der theorie zumindest. denken aber gibts weit mehr als vorteile. von hacks und viren abgesehen, der staatliche ruf nach einer breakable encryption technologie würde ungehinderten zugriff auf heimgeräte ermöglichen. auch die extrem tiefgehende überwachung eines ganzes staates, das auschlachten zu werbezwecken bis hin zum krieg gegen maschinen :) alles möglich

      spannende zeiten, notwendig wird das meiste nur bedingt sein, bzw wird der selbstzweck dann möglichekiten suchen udn finden wie es dann eben nützlich sein kann aber im grunde gehts um nur...

    • schroedingerscat | vor 365 Tagen, 14 Stunden, 46 Minuten

      @whateveryoucallme

      "vielmehr ist es die verzweifelte suche nach dem next big thing.
      das wird das internet der dinge."

      das ist die nette Variante es auszudruecken. die realistische Beschreibung lautet: ich versuch dem ohnenhin schon unmuendigen Konsumenten noch was anderes aufs Aug zu druecken.

      das Geschaeftspotential hoert sich bei mir auf wo man die Sinnhaftigkeit in Frage stellen muss wenn die potentiellen Nachteile ueberwiegen.

      Faekaltechnolgie wie ein intelligentes Klo mit einer unzureichenden baysean Intelligenz zur Diagnostizierung braucht keiner. ja damit dann alle bei der naesten google search bereits die Produkte aufgelistet bekommen, nachdem die bakterielle Daten Analyse der Klobrille nahtlos zum PC/Server ubertragen wurde. und dann geht dir das Klo ein weil der elektronikteil tod ist und du kannst deine Notdurft im Garten verrichten. aber besser noch, setz die google brille auf und stell fest dass das Klo eine bio-hazard darstellt. wenn die klobrille rot eingefaerbt dargestellt wird setzt man sich besser nicht drauf, nicht wahr...

      zugegebenermassen kann man alles was man schlecht reden kann auch gut reden und umgekehrt.

      ich bin nicht jemand der neuem allzu skeptisch gegenuebersteht aber ich wuerd lieber sehen dass research in so manchen anderen bereichen betrieben wird als im komerziellen...