Warnung: Sicherheitslcke ermglicht Autodieben, auch Ihren PKW zu knacken

Nicht mehr nach dem Schlssel suchen dank Keyless-Entry-Funktion einfach ins Auto steigen und losfahren. Das ist komfortabel, macht Spa und wird in Deutschland mittlerweile von fast allen namhaften Autohersteller angeboten. Besitzen Sie einen neueren PKW, ist diese Technik wahrscheinlich auch in ihrem Auto lngst verbaut.
So funktioniert Keyless-Entry:
Befinden Sie sich mit ihrem Autoschlssel in der Nhe ihres Fahrzeugs, entriegelt sich der Wagen automatisch, der Motor startet auf Knopfdruck im PKW. Das System funktioniert ber Funkfrequenzen, mit denen sich der Schlssel gegenber Ihrem Auto authentifiziert.
Mit einem simplen Hardware-Trick lsst sich die Funkverbindung jedoch verlngern. Ein Autodieb muss sich mit einem entsprechendem Gert nur in der Nhe des Schlssels befinden. Die Hardware leitet das Funksignal um, sodass ein Komplize die Autotre ffnen und den Motor starten kann. Die notwendige Hardware kursiert seit einiger Zeit im Internet. Kostenpunkt: Mehrere zehntausend Euro. Der ADAC bastelte sich allerdings mit Einsatz von wenigen hundert Euro das Equipment und verzeichnet damit im Test schockierende Erfolge.
Alle 24 Modelle der Marken Audi, BMW, Citroen, Ford, Honda, Hyundai, Kia, Lexus, Range Rover, Renault, Mazda, Mini, Mitsubishi, Nissan, Opel, SsangYong, Subaru, Toyota und VW lassen sich mit der Hardware problemlos fremdgesteuert ffnen und in Gang setzen - sogar wenn sich eine Wand zwischen Angreifer und Autoschlssel befindet. Wir gehen davon aus, dass derzeit die Modelle aller (!) Hersteller geknackt werden knnen.
Die Automobillbauer sind deshalb dringend aufgefordert, ihre Fahrzeugelektronik systematisch abzusichern. Ihnen als Opfer dieser Sicherheitslcke rate ich zu groer Wachsamkeit bei der Aufbewahrung Ihres Autoschlssels. Sollten Sie einen Autokauf in Erwgung ziehen, verzichten Sie vorerst auf dieses Tool.

Ihr

Daniel Gerb
Herausgeber "Viren-Ticker"

Auch Elektro-Autos brauchen schnelle Software-Updates

Der australische Entwickler und Security-Spezialist Troy Hunt wurde darauf aufmerksam, dass das meistverkaufte Elektroauto der Welt, der Nissan LEAF, bei der Fernabfrage etwa des Ladezustands der Batterie über keinen Authentifizierungsmechanismus verfügt. Das bedeutet in der Praxis: Mithilfe einer von Nissan bereitgestellten App ist es möglich, die Daten der Batterie von jedem Nissan LEAF weltweit auszulesen. Hunt ging diesem Hinweis nach und überprüfte, wie die Nissan-App arbeitet, welche Daten sie ansonsten noch liefert und ob es möglich ist, nicht nur Daten abzufragen, sondern den Wagen auch gezielt zu manipulieren. Er kam zu erschreckenden Erkenntnissen. Nachdem er Nissan die Ergebnisse seiner Arbeit übermittelt hatte, veröffentlichte er sie vier Wochen später in seinem Blog. Der Artikel liest sich wie ein Krimi.
Hunt stellte nämlich fest, dass die App lediglich die Fahrzeug-Identifikationsnummer (FIN, englisch: Vehicle Identification Number, VIN) des Wagens benötigt, um auf dessen Daten zuzugreifen. Es gelang ihm, eine weitere gültige FIN zu erzeugen, über die er direkten Zugriff auf einen anderen Nissan LEAF bekam. Denn eine Authentifizierung etwa mit Benutzernamen und Passwort hatte Nissan nicht vorgesehen. In der Folge gelang es Hunt zudem, den Code für das Ein- und Ausschalten der Klimaanlage des LEAF zu identifizieren. Er konnte sogar auf das eingebaute Logbuch des Wagens zugreifen und die letzten Fahrten nachvollziehen.
Nissan überprüfte die Angaben von Hunt, und nach knapp fünf Wochen nahm die Firma die kostenlose App für den LEAF aus den verschiedenen Stores. Doch auch ohne das Programm ist es möglich, die beschriebenen Daten abzufragen und einzelne Fahrzeugfunktionen zu steuern. Es ist also erforderlich, die Software des Wagens zu überarbeiten, um unberechtigte Zugriffe in Zukunft zu unterbinden. Und, ein weiterer wichtiger Punkt: Diese Software muss verteilt und möglichst zeitnah weltweit auf allen Nissan LEAF installiert werden.
Ohne Patch-Mechanismus geht es nicht
An Fällen wie diesen wird deutlich, welch hohe Bedeutung Update-Mechanismen zukommt. Nicht nur die Hersteller von Betriebssystemen und Anwendungen der klassischen IT müssen innerhalb weniger Tage und Wochen, manchmal auch innerhalb von Stunden, auf neu erkannte Sicherheitslecks mit Patches und Fixes reagieren können. Sämtliche Unternehmen, deren Produkte über das Internet vernetzt sind, müssen Mittel und Wege finden, Updates zu verteilen. Das gilt nicht nur für die Automobil-Industrie, sondern genauso für Firmen, die Kühlschränke mit Internet-Anschluss, vernetzte Kassensysteme, Smartmeter oder auch Smart-Home-Technik herstellen.
Bei den neuen, smarten Autos sind die Befürchtungen allerdings nicht ohne Grund besonders groß. Denn jeder hat die Horrorvision eines Wagens vor Augen, der plötzlich in voller Fahrt von Hackern lahmgelegt wird. Ein Artikel in der Süddeutschen Zeitung forderte daher vor wenigen Tagen eine stärkere Kooperation von Automobil-Herstellern und Zulieferern bei der Entwicklung von Software- und kabellosen Übertragungsstandards, um die Sicherheitsarchitektur der Fahrzeuge schneller und effizienter verbessern zu können.
Quelle: TechNet Microsoft

Apples iMessage-Krypto brchig - FBI-Backdoor macht's noch schlimmer

Die aktuelle Debatte um einen Behrden-Zugang zu Apples verschlsselten iPhones erhitzt derzeit die Gemter. Nun haben Sicherheits-Forscher einen Fehler in der Krypto des Nachrichtenversands via iMessage gefunden, der ihrer Ansicht nach eine sehr klare Botschaft sendet.
Entdeckt wurde die Schwachstelle von Informatikern der Johns Hopkins University, berichtete der Chicago Tribune. Es gelang dabei in einem ersten Schritt verschlsselte Inhalte aus der iMessage-Kommunikation abzufangen. Dafr kam ein Rechner zum Einsatz, der sich erfolgreich als regulrer iCloud-Server ausgeben konnte. Dem sendenden iPhone entlockte man auerdem den Schlssel, mit dem die Nachricht dekodiert werden konnte. Informatik-Professor Matthew Green hatte bereits vor einiger Zeit vermutet, dass es ein Problem geben knnte, als er ein Apple-Dokument studierte, in dem das Kryptoverfahren von iMessage etwas genauer beschrieben wurde. Schon damals lies er Apple seine Meinung zu dem Thema zukommen. Es dauerte allerdings noch einige Zeit, bis es ihm und seinem Team nun tatschlich gelang, die Schwachstelle auszunutzen.
Bei Apple hatte man schon vor einiger Zeit damit begonnen, an dem Problem zu arbeiten. Teilweise seien schon mit dem Release von iOS 9 im letzten Herbst nderungen vorgenommen worden. Durch die neuesten Entwicklungen gab es aber noch einmal tiefgreifendere Erkenntnisse und mit dem neuesten Update auf iOS 9.3, das in den kommenden Stunden erscheinen sollte, will das Unternehmen die Sache ganz aus der Welt schaffen.
Dem FBI htten Kenntnisse ber den Bug aber nicht geholfen, den aktuell viel diskutierten Zugriff auf ein bestimmtes iPhone zu erhalten. Denn hier muss auf ein verschlsseltes Gert zugegriffen und nicht dessen aktuelle Kommunikation abgefangen werden. Trotzdem hat die Angelegenheit nach Ansicht der Sicherheits-Forscher durchaus Relevanz fr den Fall.
Laut Green zeige sich hier, dass ordentliche Kryptographie schlicht nichts banales ist. "Selbst Apple mit all den dort vorhandenen Fhigkeiten - und sie haben grandiose Kryptographen im Haus - hat das nicht richtig hinbekommen", so der Informatik-Prof. "Daher beunruhigt es mich, dass es Diskussionen ber den Einbau von Hintertren in die Verschlsselung gibt, wenn wir nicht einmal die grundlegende Kryptographie komplett dicht kriegen." Denn damit wrde die Sicherheit der Nutzer noch zustzlich untergraben und Angreifer erhielten noch mehr Punkte, an denen sie ansetzen knnen.
Quelle: WinFuture