Angreifer könnten aktuelle BMW-Modelle über Mobilfunk kapern
Sicherheitsforscher haben Sicherheitslücken im Infotainment-System von verschiedenen BMW-Modellen ausgenutzt und so die Kontrolle übernommen. Ein Angriff aus der Ferne ist aber ziemlich aufwendig.
(Bild: Keen Security Lab)
In verschiedenen Modellen des Autoherstellers BMW klaffen 14 Sicherheitslücken. Darauf sind Sicherheitsforscher von Keen Security Lab gestoßen. In ihrer Veröffentlichung zu den Schwachstellen führen sie aus, dass Angreifer lokal und aus der Ferne unter anderem Root-Zugriff auf das Herzstück der Autos, den CAN-Bus, erlangen könnten.
In dieser Position kann man zentrale Befehle, beispielsweise an den Motor, senden. Erste Sicherheitspatches sollen bereits vorliegen. Diese sollen sich aber ausschließlich von Fachpersonal in einer Werkstatt installieren lassen.
Die Lücken finden sich ferner im Infotainment-System und in der Telematics Control Unit. Da die verwundbare Systemen über die BMW-Flotte verteilt in verschiedenen Kombinationen und mit unterschiedlicher Firmware zum Einsatz kommen, können die Sicherheitsforscher nicht konkret sagen, welche Modelle und Firmeware-Versionen betroffen sind. In ihrer Publikation listen sie die BMW-Serien 3, 5, 7, i und X auf. Angreifbare Modelle gehen der Auflistung zufolge bis ins Jahr 2012 zurück.
Angriffsarten
Keenlabs beschreibt, dass sich einige Lücken nur lokal ausnutzen lassen. Dafür müsste ein Angreifer beispielsweise einen präparierten USB-Stick im Auto anschließen, um einen Übergriff einzuleiten. Sie zeigen aber auch auf, dass man betroffene BMW-Modelle aus der Ferne attackieren kann. Das soll beispielsweise über Mobilfunk (GSM) klappen. Dafür muss man jedoch die Kontrolle über ein GSM-Netzwerk haben. Aus kurzer Distanz könnte ein Angriff via Bluetooth funktionieren.
Um die Kontrolle über ein Fahrzeug zu übernehmen, müsste ein Angreifer mehrere Lücken miteinander kombinieren, führen die Sicherheitsforscher aus. In der Praxis sei dafür viel Aufwand nötig. Weiterführende Details zu möglichen Angriffsszenarien und den Schwachstellen stehen noch aus. Infos dazu sollen aus Sicherheitsgründen erst 2019 folgen, erläutert Keenlab.
Autos von BMW sind nicht das erste Mal im Fokus von Sicherheitsforschern: Im Jahr 2015 sorgte der ADAC für Schlagzeilen, als bekannt wurde, dass ein Sicherheitsexperte das Online-System ConnectedDrive von BMW gehackt hat. (des)
