Hacker gegen intelligente Autos: Zählen Sie die Modelle, die versagt haben

Autos sind für uns nicht mehr nur ein einfaches Fortbewegungsmittel. Mit der Entwicklung der Mobiltechnologie verfügen Autos, ähnlich wie das Internet der Dinge, über eigene Plattformen und Technologien für das Internet der Fahrzeuge. Mithilfe der Fahrzeugnetzwerktechnologie können wir weitere technologische Funktionen wie Navigation, Erfassung von Straßenzustandsinformationen, Fernsteuerung, automatisches Fahren und sogar unbemanntes Fahren realisieren.

Allerdings ist auch das Internet der Fahrzeuge, wie das Internet der Dinge, mit Problemen wie Systemschwachstellen und Hackerangriffen konfrontiert. Anders als bei Hackerangriffen auf die Plattform des Internets der Dinge geht es bei einem Eindringen von Personen mit „unlauteren Absichten“ in das Internet der Fahrzeuge nicht nur um den Verlust persönlicher Daten und Eigentums. Hacker können die Systeme unseres Autos kontrollieren und sogar die Kontrolle über unser Lenkrad und unsere Bremssysteme übernehmen und so unser Leben gefährden.

Wir übertreiben nicht, wenn wir das sagen. Wenn Sie das nicht glauben, schauen wir uns einige reale Beispiele an, die in den Zeitungen erschienen sind. Ich glaube, dass Sie nach dem Lesen dieser Informationen unwillkürlich mehr auf die Sicherheit des Internets der Fahrzeuge achten werden.

Jeep ist die am stärksten von Hackern betroffene Region

Wenn wir über das beliebteste „Autofleisch“ der Hacker sprechen, dann muss es die Marke Jeep unter Chrysler sein. Zwei der Sicherheitsforscher, Charlie Miller und Chris Valasek, schienen sehr an Jeep „interessiert“ zu sein. Im Jahr 2015 übernahmen zwei Hacker die Kontrolle über einen Jeep Cherokee im Besitz von Andy Greenberg.

Nach der Beschreibung des Besitzers blies die Klimaanlage des Autos nach dem Einschalten der Netzwerkfunktion plötzlich starke kalte Luft aus, und dann begann das Audiosystem, Musik mit maximaler Lautstärke abzuspielen. Dann fielen die Funktionen zur Temperaturregelung und Lautstärkeregelung vollständig aus. Anschließend zeigten die beiden Hacker ihre Fotos auf dem zentralen Kontrolldisplay des Autos an, woraufhin die Scheibenreinigungsflüssigkeit herausspritzte und die Scheibenwischer mit maximaler Frequenz arbeiteten.

Dann kam etwas, das das Herz noch mehr aufregte. Die beiden Hacker brachten das Auto tatsächlich zum Stehen, und als Greenberg weiterfuhr, gelang es den Hackern, die Bremsen zu deaktivieren und dann die vollständige Kontrolle über das Auto zu übernehmen, sodass das Auto schließlich gezwungen war, am Abhang am Straßenrand anzuhalten. Glücklicherweise hatten die beiden Hacker nicht die Absicht, das Leben des Autobesitzers zu gefährden, sondern wollten lediglich die Sicherheit der mit neuen Technologien ausgestatteten Fahrzeuge bewerten. Der Angriff führte in den USA zu einem Rückruf von 1,4 Millionen Fahrzeugen durch Fiat Chrysler und wurde zu einem der Hauptthemen der letztjährigen Black Hat-Konferenz.

Nicht lange nach ihrem umstrittenen Test im Jahr 2015 nahmen Charlie Miller und Chris Valasek den Jeep Cherokee erneut ins Visier und übernahmen diesmal die volle Kontrolle über das Bremssystem des Autos.

Die beiden Hacker verschafften sich über den CAN-Bus Zugriff auf das System des Jeeps und legten das Bremssystem des Jeeps vollständig lahm, um die Kontrolle zu erlangen. Sie sagten, dass weitere Fernsteuerungsmethoden verwendet werden könnten, beispielsweise die Verwendung versteckter Geräte mit drahtloser Verbindung für Angriffe. Hacker können während des Angriffsvorgangs Angriffsprogramme neu gestalten, um neue gezielte Angriffe zu starten. , Sie können es einfach steuern. Das von den Forschern entwickelte Dashboard-Informationssystem Uconnect konnte auf diese Weise problemlos gehackt werden. Dabei wurden nicht nur Bremsen und Scheibenwischerschalter, sondern auch der Automotor gesteuert. Allerdings muss der Hacker zunächst eine physische Verbindung zum Auto herstellen und kann nicht sofort eine Fernsteuerung erreichen.

OnStar von General Motors wurde gehackt

Ebenfalls im Jahr 2015 griff ein weiterer „White Hat Hacker“, Smay Kamkar, auf das „OnStar“-System von GM zurück und gab an, er könne eine Sicherheitslücke im Produkt ausnutzen, um das Auto aus der Ferne zu entriegeln und den Motor zu starten.

Smay Kamkar hat eine Möglichkeit gefunden, das Auto zu „lokalisieren, zu entriegeln und aus der Ferne zu starten“, indem er die Kommunikation zwischen der mobilen App OnStar Remote Link und dem OnStar-Dienst abfängt.

Später sagte Jeff Massimilla, Chief Cybersecurity Officer von GM, dass das Unternehmen großen Wert auf Sicherheitsforscher lege und ein neues Offenlegungsprogramm gestartet habe. In diesem Projekt werden sie mit der Sicherheitslücken-Bounty-Plattform HackerOne zusammenarbeiten und durch White-Hat-Hacker etwas über potenzielle Sicherheitsprobleme erfahren. Noch wichtiger ist jedoch, dass durch den Start dieses Projekts sichergestellt wird, dass diese Sicherheitsforscher die Autos von GM knacken können, ohne Angst vor einer Strafverfolgung haben zu müssen.

Laut GM kann jeder mit guten Absichten versuchen, die Autos des Unternehmens zu hacken, ohne rechtliche Konsequenzen befürchten zu müssen, solange er nicht gegen das Gesetz verstößt oder dem Unternehmen oder seinen Kunden Schaden zufügt. Nachdem die Sicherheitslücken entdeckt worden waren, konnten die Hacker ihre Ergebnisse erst veröffentlichen, nachdem GM die Probleme behoben hatte.

Auch Mercedes-Benz und BMW waren nicht immun.

Nachdem Samy Kamkar GM OnStar erfolgreich erobert hatte, blieben selbst Luxusautomarken wie Mercedes-Benz und BMW nicht verschont.

Kamkar sagte, dass Apps wie Remote von BMW, Mbrace von Mercedes-Benz und Uconnect von Chrysler allesamt Schwachstellen bei der SSL-Zertifikatsüberprüfung aufweisen. Solange Sie über das Zertifikat verfügen, können Sie die App imitieren, um mit dem Remote-Server zu kommunizieren und die entsprechenden Funktionen der Original-App zu implementieren. Zudem sind diese Zertifikate nicht nur einmal gültig, ihre Gültigkeitsdauer entspricht der des Autobesitzers. Mit anderen Worten, der Erhalt dieses Zertifikats ist gleichbedeutend mit dem Erhalt der Administratorrechte des Autobesitzers.

Sobald der Autobesitzer gehackt ist, erhält der Hacker die Privatadresse, E-Mail-Adresse, Kreditkarteninformationen usw. Gleichzeitig können einige Automodelle auch per Fernsteuerung gestartet und entriegelt werden.

Tesla gehackt

Auf der digitalen Sicherheitskonferenz DEF CON 23 2015 demonstrierten die Sicherheitsexperten Kevin Mahaffey und Marc Rogers, wie man eine Schwachstelle in einem Model S ausnutzt, um die Tür zu öffnen, das Auto zu starten und erfolgreich wegzufahren. Sie könnten auch einen „Selbstmordbefehl“ an das Model S senden, der den Systemmotor bei normaler Fahrt plötzlich abschaltet, um das Fahrzeug anzuhalten.

Nach dem Entfernen des Gummis und anderer Ausrüstung von der Karosserie des Model S fanden Sicherheitsexperten insgesamt zwei entfernbare SD-Karten, USB-Anschlüsse, eine Reihe von Diagnoseanschlüssen und ein mysteriöses Spezialkabel. Über diesen mysteriösen Port konnten Mahaffey und Rogers schließlich mithilfe eines Ethernet-Kabels und etwas Klebeband auf das Bordnetzwerk des Fahrzeugs zugreifen. Nachdem sie das Fahrzeug an einen Netzwerk-Switch angeschlossen hatten, konnten sie sich weiter mit der Netzwerkverbindung des Model S verbinden und das VPN nutzen, um eine Verbindung zu den Servern von Tesla herzustellen und die Firmware herunterzuladen und zu dekompilieren.

Nachdem die Firmware geknackt wurde, hat das Sicherheitspersonal mehr Berechtigungen, Tesla zu bedienen. Durch die Kombination dieser beiden Schwachstellen, der drahtlosen Verbindung durch die Entdeckung der digitalen Autoschlüsseldaten auf der SD-Karte und der physischen VPN-Verbindung zu den Servern von Tesla, erhält das Sicherheitspersonal nahezu vollständigen Zugriff auf den QtCarVehicle genannten Autodienst und kann sämtliche Funktionen des Autos steuern.

Auch Toyota und Ford seien „sehr miserabel“

Charlie Miller und Chris Valasek sind zwei White-Hat-Hacker. Auf der Hackerkonferenz DefCon 2013 demonstrierten sie, wie man mithilfe eines Computers in das elektronische Steuerungssystem der Modelle Toyota Prius und Ford Escape eindringt und die Kontrolle über das Fahrzeug übernimmt, einschließlich Lenkung, Bremsen, Beschleunigung und Instrumentenanzeige.

Da immer mehr Automodelle gehackt werden, haben das FBI und die National Highway Traffic Safety Administration Anfang des Jahres sogar eine Erklärung herausgegeben, in der sie Autohersteller und Autobesitzer offiziell daran erinnerten, dass einige Fahrzeuge mit Internetzugangsfunktionen Ziel von Netzwerk-Hackerangriffen sein könnten.

Diese Erinnerung wurde in Form einer „öffentlichen Bekanntmachung“ herausgegeben. Zwei Regierungsbehörden haben gewarnt, dass die zunehmende Nutzung der „Connected Vehicle“-Technologie in Autos eine potenzielle Bedrohung für die Informationssicherheit darstellt. Selbst wenn Hacker die Kontrolle über das Fahrzeug „übernehmen“, stellt der daraus resultierende Unfall möglicherweise keine Gefahr für die persönliche Sicherheit dar und Autobesitzer müssen Maßnahmen ergreifen, um das Risiko zu minimieren.

Tatsächlich konzentrieren sich die heutigen Autohersteller möglicherweise zu sehr auf Aussehen und Mode und ignorieren die Sicherheitsaspekte der Autos. Insbesondere bei Produkten wie Autos, die leicht zu Personenschäden und schweren Unfällen führen können, sollten Sicherheitsaspekte ernster genommen werden.

Darüber hinaus sind einige Autohersteller sogar bereit, Benutzerdaten in einer „nackten“ Situation preiszugeben, um die neueste Technologie nutzen zu können. Da die Automobilunternehmen heutzutage intensiv an der Entwicklung intelligenter Fahrzeugsysteme arbeiten, muss der Sicherheit dieser Fahrzeugsysteme zweifellos mehr Aufmerksamkeit geschenkt werden. Schließlich sind Autos etwas anderes als Mobiltelefone und Computer. Sobald sie angegriffen werden, wird das Leben der Menschen noch stärker bedroht sein. Daher sollte die gesamte Branche der Sicherheit intelligenter Fahrzeugsysteme und selbstfahrender Fahrzeuge mehr Aufmerksamkeit schenken und strengere Verschlüsselungsmechanismen bereitstellen.

Als Gewinner des Qingyun-Plans von Toutiao und des Bai+-Plans von Baijiahao, des Baidu-Digitalautors des Jahres 2019, des beliebtesten Autors von Baijiahao im Technologiebereich, des Sogou-Autors für Technologie und Kultur 2019 und des einflussreichsten Schöpfers des Baijiahao-Vierteljahrs 2021 hat er viele Auszeichnungen gewonnen, darunter den Sohu Best Industry Media Person 2013, den dritten Platz beim China New Media Entrepreneurship Competition Beijing 2015, den Guangmang Experience Award 2015, den dritten Platz im Finale des China New Media Entrepreneurship Competition 2015 und den Baidu Dynamic Annual Powerful Celebrity 2018.