04.08.2017 Schwachstelle in Auto-Infotainment-Systemen

Symbolbild Internet of Things

Auf der Defcon in Las Vegas haben drei Sicherheitsforscher von McAfee demonstriert, dass Infotainment-Systeme mehrerer Automarken zahlreiche Schwachstellen aufweisen.

Mickey Shkatov, Jesse Michael und Oleksandr Bazhaniuk vom Advanced Threat Research Team bei McAfee haben in einer Demo gezeigt, wie anfällig Infotainment-Systeme in Autos noch immer sind. Dazu machten sie sich in sämtlicher noch vorhandener Bordelektronik eines schrottreifen Nissan Leaf auf die Suche nach Einstiegsstellen. Fündig wurden sie unter anderem in der vom deutschen Zulieferer Continental gebauten Telematikeinheit des Autos. Diese verbindet das Fahrzeug per GPRS mit einem Internetdienst von Nissan und ist nach innen mit einem Teil des CAN (Controller Area Network)-Busses verbunden.

Von der Lücke betroffen sind all jene von der Continental AG hergestellten Telematik-Module, die den S-Gold 2 Chipset benutzen. Der Hersteller hat den Bericht der Sicherheitsforscher bereits bestätigt. Das amerikanische ICS-CERT gab als Reaktion auf die entdeckten Schwachstellen eine Warnung heraus. Die Sicherheitslücke könne von Angreifern aus der Ferne dazu ausgenutzt werden, um das Infotainment-System eines Fahrzeugs zu deaktivieren und funktionelle Features des Fahrzeugs zu beeinflussen. Der S-Gold 2 Chipset wurde in verschiedenen Modellen von BMW aus den Jahren 2009-2010 eingebaut, von 2011 bis 2015 in Fords, Infinitis und den Nissan Leaf.

Keine kritischen Sicherheitsfeatures manipulierbar

Die betroffenen Autohersteller betonen, dass keine „kritischen Sicherheitsfeatures“ manipulierbar seien. Nissan und Infiniti haben die Händler angewiesen, ihren Kunden eine kostenlose 2G-TCU-Deaktivierung anzubieten. Kunden sollten sich diesbezüglich an ihre Händler wenden. BMW will betroffenen Kunden eine Service-Maßnahme anbieten. Ford hat bereits seit 2016 ein Kunden-Programm, um 2G-Modems zu deaktivieren.

Weitere Informationen:

Datum der Veröffentlichung: 04.08.2017

Für den Inhalt verantwortlich:
  • A-SIT Zentrum für sichere Informationstechnologie – Austria