Hacker übernimmt Nissan-Klimaanlage aus tausenden Kilometern Entfernung

Wie die Süddeutsche am 25.02.2016 vermeldet, ist mal wieder ein Auto über das Internet gehackt worden. Diesmal hat es Nissan mit dem Modell Leaf erwischt. Über eine ungesicherte Verbindung offenbar ohne jegliche Autorisierungsprüfung (Passwort o.ä.) gelang es dem Sicherheitsforscher Troy Hunt die Klimaanlage eines tausende Kilometer entfernt befindlichen Nissan Leaf ein- und auszuschalten und sensible Fahrbewegungsdaten auszulesen. Dazu reichte nach seinem Reverse-Engineering das Kopieren einer präparierten URL in den Webbrowser. Die Schwachstelle ist offenbar eine unzureichend abgesicherte App, mit der auf das Fahrzeug zugegriffen werden kann.

Das deckt sich mit den Forschungsergebnissen aus meinem Forschungsprojekt Car-Forensics. Auch hier war eine der gefundenen Angriffsvektoren die Kompromittierung der mit dem Fahrzeug gekoppelter Smartphone-Apps (in diesem Fall BMW). Im oben genannten Bericht wird bemängelt, dass der Hersteller mehr als vier Wochen gebraucht hat, um die Lücke vorübergehend zu schließen. Ich finde das noch schnell, denn viele der von mir bei BMW gefundenen Lücken funktionieren nach über einem Jahr immer noch und das, obwohl BMW eine detaillierte Schwachstellenanalyse aus September 2014 vorliegt (kostenfrei geliefert).

Besonders brisant an dem Nissan-Hack ist, dass dieser möglicherweise nicht einmal strafbar ist. In Deutschland wäre z.B. § 202a StGB anwendbar:

(1) Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft (...)

Das blöde daran ist, dass der Zugang ja offensichtlich nicht besonders gesichert ist. Damit könnte (!) gelten: Feuer frei liebe Hacker! Und das ist für den Besitzer doppelt blöd, denn damit fällt nicht nur eine Hürde für den Hacker, sondern man kann ihn (je nach nationaler Gesetzeslage) möglicherweise nicht einmal dafür belangen (bitte jetzt trotzdem nicht nachmachen). Nur den Hersteller könnte man jetzt zivilrechtlich angreifen, da er ganz offenbar seinen Sorgfaltspflichten nicht nachkommt und in Bezug auf die IT-Sicherheit gängige Regeln der Technik missachtet (Verschlüsselung, Authentifizierung etc.).

Besonders ärgerlich ist, dass man solch einen Fehler leicht durch Penetration-Tests vor Inbetriebnahme eines solchen Systems durch Sicherheitsfachleute hätte aufdecken können. Ein solcher Implementierungsfehler wäre mit ziemlicher Sicherheit schon bei der Prüfung des Systemdesigns aufgefallen.

Man müsste dazu nur mal jemanden beauftragen, der sich damit auskennt. Der eine oder andere Hersteller hat das schon erkannt. Andere lernen noch. Hoffentlich rechtzeitig, bis die ersten Autos vollautomatisch fahren und Hacker dann hoffentlich vergeblich versuchen, die Autos fernzusteuern. Das sind dann Spielzeugautos im Maßstab 1:1… Böse!

Mehr Infos: http://www.sueddeutsche.de/auto/auto-sicherheitsluecke-hacker-uebernimmt-nissan-klimaanlage-aus-tausenden-kilometern-entfernung-1.2880424

Und wie der Hack im Detail funktioniert, steht hier: http://www.troyhunt.com/2016/02/controlling-vehicle-features-of-nissan.html