Autos per SMS fernsteuern

In neueren Autos befinden sich bekanntermaßen immer mehr elektronische Bauteile. Diese Tatsache wird bereits seit geraumer Zeit von kriminellen Tätern genutzt, etwa um den digitalen Tachostand eines Fahrzeugs unbemerkt zu manipulieren. Auf diese Weise kann zum Beispiel für ein älteres Fahrzeug ein höherer Verkaufspreis erzielt werden. Auch sonstige Veränderungen des Fahrzeugs sind grundsätzlich möglich (etwa das Heraufsetzen der vom Hersteller vorgegebenen maximalen Fahrgeschwindigkeit), setzten bisher jedoch meist einen physikalischen Zugriff auf das Auto voraus.

Neuere Fahrzeuge erlauben jedoch zunehmend drahtlose Übertragungswege. Hierfür kommen u.a. standardmäßig Bauteile zum Einsatz, die über Mobilfunkschnittstellen angesprochen werden können. Dies bietet nun ganz neue Angriffsmöglichkeiten.

Auf der letzten Blackhat Konferenz stellten iSEC Partners einen Angriff auf einen Subaru Outback vor, bei dem mittels manipulierter SMS das Alarmsystem des Fahrzeug deaktiviert, die Türen geöffnet und der Motor gestartet werden konnte.

Derartige Angriffe stehen zwar erst am Anfang und sind noch mit einer Reihe von Herausforderungen verbunden (u.a. besteht ein Problem darin, die korrekte Telefonnummer für ein gewünschtes Ziel zu finden), so dass noch nicht mit einem massenhaften Einsatz zu rechnen ist. Erste Lösungsansätze und Tools wurden jedoch offenbar auf der Blackhat bereits präsentiert. Zudem sind derartige SMS-Angriffe nicht auf Autos beschränkt, sondern können auch bei anderen Systemen zur Anwendung kommen, bei denen derartige Bauteile verbaut sind, u.a. Geldautomaten, bestimmte medizinische Geräte oder sogar Verkehrsampeln.

Eine Gegenwehr gegen derartige Angriffe dürfte sich schwierig gestalten, denn die Autobesitzer (bzw. Betreiber der anderen genannten Geräte) werden regelmäßig gar keinen Zugriff auf die Bordelektronik haben. Rufnummernfilter und ähnliche Abwehrmaßnahmen werden sich daher in vielen Fällen nur durch die Provider setzen lassen. Weiterhin setzen erfolgreiche Maßnahmen zunächst voraus, dass Angriffe überhaupt registriert werden. Bereits wegen einer fehlenden Protokollierung könnte dies jedoch schwer werden. Gleichzeitig können sich die Täter (etwa bei der Nutzung von nicht registrierten Prepaid-Telefonen) recht sicher sein, dass Angriffe nicht zu ihnen zurückverfolgt werden können.

Schlagworte: ,

Kommentieren ist momentan nicht möglich.