/Hacker

Update! Hacker steuern Jeep Cherokee fern – Chrysler ruft 1,4 Mio. Fahrzeuge zurück

Benedikt Plass-Fleßenkämper 22.07.2015 Lesezeit 4 Min

Die US-Hacker Charlie Miller und Chris Valasek haben per Smartphone-App und Laptop die Kontrolle über einen Jeep Cherokee übernommen. Möglich gemacht hat dies eine Sicherheitslücke im Uconnect-Bordsystem, das in tausenden Automobilen in den USA und Europa verbaut wurde.

Update 27.07.: Nachdem die Sicherheitslücke des Wagens bekannt wurde, ruft Hersteller Chrysler nun mehr als eine Million der Fahrzeuge in den USA für ein Software-Update zurück. Das Update soll die Sicherheitslücke schließen, über die es den Hackern gelungen war, den Jeep Cherokee aus der Ferne zu steuern.

Der Journalist Andy Greenberg rast mit 110 Stundenkilometer über den Highway in St. Louis im US-Bundesstaat Missouri. Plötzlich bläst ihm die Klimaanlage entgegen, laute Musik dröhnt aus den Lautsprechern, und die Scheibenwischanlage spielt verrückt. Als dann noch der Motor absäuft, wird dem WIRED-US-Autor klar, dass aus seinem Selbstversuch schnell bitterer Ernst werden kann...

Was war passiert? Die beiden Hacker und Sicherheitsexperten Charlie Miller und Chris Valasek nutzten für das Experiment mit dem Jeep eine Lücke im Uconnect-Bordsystem des Wagens und manipulierten ihn aus dem Internet. 

 

Uconnect wurde seit 2013 in tausenden Autos der Firma Fiat-Chrysler eingebaut; nicht nur in Jeeps, auch in Fahrzeuge der europäischen Marken Fiat, Alfa Romeo und Lancia sowie in US-Brands wie Dodge, Chrysler oder SRT. Hacker können in die Software direkt über das Internet eindringen und via Smartphone-App und Laptop die vollständige Kontrolle über das Vehikel übernehmen — vom Navigationssystem über die Scheibenwischer bis hin zu Gas, Bremse und Motor. Auf einem abgeriegelten Testgelände steuerten Miller und Valasek den Jeep sogar komplett fern. Andy Greenberg am Lenkrad hatte keine Möglichkeit einzugreifen, als das Auto langsam in die Böschung fuhr. 

Die zwei Sicherheitsexperten machten Fiat-Chrysler bereits vor neun Monaten auf die Probleme aufmerksam; am 16. Juli 2015 veröffentlichte das Unternehmen schließlich ein Software-Update. Allerdings müssen Autobesitzer den Patch eigenständig mithilfe eines USB-Sticks installieren — eine automatische Update-Funktion via Internet ist anscheinend nicht möglich. „Dieses Update mag nicht sonderlich wichtig klingen. Aber wenn man kann, sollte man es umgehend installieren“, schrieb Charlie Miller auf Twitter.

Update 27.07.: Nachdem die Sicherheitslücke des Wagens bekannt wurde, ruft Hersteller Chrysler nun mehr als eine Million der Fahrzeuge in den USA für ein Software-Update zurück. Das Update soll die Sicherheitslücke schließen, über die es den Hackern gelungen war, den Jeep Cherokee aus der Ferne zu steuern.

Der Journalist Andy Greenberg rast mit 110 Stundenkilometer über den Highway in St. Louis im US-Bundesstaat Missouri. Plötzlich bläst ihm die Klimaanlage entgegen, laute Musik dröhnt aus den Lautsprechern, und die Scheibenwischanlage spielt verrückt. Als dann noch der Motor absäuft, wird dem WIRED-US-Autor klar, dass aus seinem Selbstversuch schnell bitterer Ernst werden kann...

Was war passiert? Die beiden Hacker und Sicherheitsexperten Charlie Miller und Chris Valasek nutzten für das Experiment mit dem Jeep eine Lücke im Uconnect-Bordsystem des Wagens und manipulierten ihn aus dem Internet. 

 

Uconnect wurde seit 2013 in tausenden Autos der Firma Fiat-Chrysler eingebaut; nicht nur in Jeeps, auch in Fahrzeuge der europäischen Marken Fiat, Alfa Romeo und Lancia sowie in US-Brands wie Dodge, Chrysler oder SRT. Hacker können in die Software direkt über das Internet eindringen und via Smartphone-App und Laptop die vollständige Kontrolle über das Vehikel übernehmen — vom Navigationssystem über die Scheibenwischer bis hin zu Gas, Bremse und Motor. Auf einem abgeriegelten Testgelände steuerten Miller und Valasek den Jeep sogar komplett fern. Andy Greenberg am Lenkrad hatte keine Möglichkeit einzugreifen, als das Auto langsam in die Böschung fuhr. 

Die zwei Sicherheitsexperten machten Fiat-Chrysler bereits vor neun Monaten auf die Probleme aufmerksam; am 16. Juli 2015 veröffentlichte das Unternehmen schließlich ein Software-Update. Allerdings müssen Autobesitzer den Patch eigenständig mithilfe eines USB-Sticks installieren — eine automatische Update-Funktion via Internet ist anscheinend nicht möglich. „Dieses Update mag nicht sonderlich wichtig klingen. Aber wenn man kann, sollte man es umgehend installieren“, schrieb Charlie Miller auf Twitter.

This update might not sound particularly important, but trust me, if you can, you really should install this one. pic.twitter.com/qhTCrBIho8

— Charlie Miller (@0xcharlie) 20. Juli 2015

Die gefährliche Demonstration rief nun auch Kritiker auf den Plan. Sie fragen sich, ob eine solche Praxis-Berichterstattung die Öffentlichkeit in Gefahr bringen darf. Denn schließlich fuhr ein schwerer Lastzug nur wenige Meter an Greenbergs ausgebremstem Jeep vorbei — das Unfallrisiko war ausgesprochen hoch. Nichtsdestotrotz zeigen Miller und Valasek die Auswirkungen, die die Sicherheitslücken in Unterhaltungssystemen, die über das Internet verbunden sind, für Autofahrer haben können.

Inwieweit noch andere Modelle von den Software-Problemen betroffen sein könnten, ist unklar. Der unabhängige Sicherheitsexperte Graham Cluley schreibt auf seiner Website, dass bislang nur Tests an Jeeps durchgeführt wurden. „Es ist aber durchaus möglich, dass kleinere Veränderungen den Hack auch an Uconnect-Systemen anderer Chrysler-Fahrzeuge möglich machen könnten“, so Cluley. Er spricht sich ebenfalls für die Installation des Updates aus und rät Autobesitzern weiterhin zur Vorsicht. Denn Sicherheitslücken dieser Art können im schlimmsten Falle sogar tödlich enden.