OnStar: Sicherheitsforscher hackt Fahrzeugsystem von General Motors
Samy Kamkar startet mit einem mobilen Gerät den Motor oder öffnet die Türen eines Autos. Der Forscher kann die Kommunikation zwischen einer mobilen Smartphone-App und den GM-Servern abfangen. Somit kann er dauerhaft auf sämtliche OnStar-Funktionen zugreifen.
Das Fahrzeugsystem OnStar des US-Autoherstellers General Motors lässt sich mit einem mobilen Gerät auf Basis eines Raspberry Pi hacken. Das hat der Sicherheitsforscher Samy Kamkar demonstriert. Das Gadget trägt den Namen OwnStar und ist in der Lage, die Position eines Fahrzeugs zu ermitteln, dessen Türen zu öffnen und auch den Motor zu starten.
Eigentlich sollen Fahrer mit OnStar ihre Auto mit dem Smartphone verbinden können. Anschließend lässt sich das Auto mit der App RemoteLink aufschließen. Auch die Navigationsdienste lassen sich darüber nutzen. Im Fall eines Diebstahls kann die Anwendung auch die Zündung blockieren.
Kamkar konnten nach eigenen Angaben einen Man-in-the-Middle-Angriff starten und somit die Kommunikation zwischen der RemoteLink-App und den OnStar-Servern von General Motors abfangen. Zuvor muss er nur einmal in der Nähe eines Fahrzeugbesitzers sein, während dieser seine mobile App startet. Anschließend ist der Forscher in der Lage, dauerhaft auf sämtliche Funktionen von OnStar zuzugreifen. Auch die genaue Ortung des Fahrzeugs sei möglich, so Kamkar weiter.
In einem Video demonstriert der Forscher, wie sich aus der Ferne mit seinem Gerät ein Auto entriegeln und auch der Motor starten lässt. Weitere Details will er auf der Sicherheitskonferenz DefCon bekanntgeben, die am 6. August beginnt.
General Motors ist über das Problem informiert. “Glücklicherweise steckt der Fehler in der mobilen Software und es ist kein Problem mit den Fahrzeugen selbst”, sagte Kamkar. “General Motors und OnStar waren bisher empfänglich und haben schnell eine Lösung erarbeitet, um Verbraucher zu schützen.” Bis zur Veröffentlichung eines Updates rät er Nutzern allerdings, die RemoteLink-App auf ihrem Smartphone nicht zu verwenden.
Hierzulande bietet die GM-Tochter Opel OnStar auch für ihre Fahrzeuge an. Ob die deutsche Version der Smartphone-App ebenfalls anfällig ist, ist bislang nicht bekannt. Allerdings bietet sie weniger Funktionen als die US-Ausgabe: Das Starten des Motors aus der Ferne ist laut Hersteller-Website beispielsweise nicht möglich.
In der vergangenen Woche hatten Forscher bereits eine Sicherheitslücke in einem Fahrzeugsystem von Fiat Chrysler vorgeführt. Sie können aus der Ferne auch wesentliche Funktionen wie die Bremsen manipulieren. Nach Herstellerangaben sind alleine in den USA rund 1,4 Millionen Fahrzeuge betroffen. Sie sollen nun ein Softwareupdate erhalten, das sich nur per USB-Stick einspielen lässt.
[mit Material von Stefan Beiersmann, ZDNet.de]