Forscher knacken Mitsubishi Outlander per WLAN

Experten des Sicherheitsanbieters PenTestPartners haben eine Sicherheitslücke im WLAN-Modul eines Fahrzeugs des japanischen Automobilherstellers Mitsubishi gefunden. Die Schwachstelle erlaubt es demnach, das Alarmsystem der Plug-in Hybrid-Variante des SUVs Outlander abzuschalten. Außerdem ist es möglich, verschiedene Einstellungen zu verändern und die Batterie des Fahrzeugs zu leeren.

Mitsubishi Outlander (Bild: Mitsubishi).

Von der Anfälligkeit profitieren vor allem potenzielle Autodiebe. Sie erhalten so mehr Zeit, um den Motor des Fahrzeugs zu starten und es zu entwenden. Hierzulande ist der Plug-in Hybrid Outlander zu einem Basispreis ab 39.990 Euro zu haben.

Die Schwachstelle beruht den Forschern zufolge auf der „ungewöhnlichen“ Art, in der sich die mobile App mit dem Outlander verbindet. Statt ein GSM-Modul zu nutzen, haben die Entwickler einen WLAN-Access-Point in das Fahrzeug integriert, allerdings ohne gängige Sicherheitspraktiken zu beachten.

Das voreingestellte WLAN-Passwort war demnach so kurz, dass ein Computer mit vier GPUs weniger als vier Tage benötigte, um es zu knacken, so die Forscher weiter. Über einen Man-in-the-Middle-Angriff sei es schließlich gelungen, den Datenverkehr zwischen App und Fahrzeug abzufangen und das Fahrzeugsystem über den Diagnoseanschluss zu kompromittieren.

Anschließend steuerten die Mitarbeiter von PenTestPartners nicht nur die Alarmanlage, sondern auch die Beleuchtung und die Klimaanlage. „Einmal entsperrt sind wahrscheinlich noch mehr Angriffe möglich“, erklärten die Forscher. „Der Diagnoseanschluss ist zugänglich, sobald die Tür entriegelt wurde. „Ob sich darüber, wie zeitweise bei Fahrzeugen von BMW möglich, auch neue Türschlüssel programmieren lassen, haben die Forscher nach eigenen Angaben nicht überprüft.

Ein weiteres Problem ist nach Ansicht der Sicherheitsexperten der unverwechselbare voreingestellte Name des WLAN-Netzwerks. „Einige haben wir entdeckt, während sie gefahren sind, andere standen vor dem Haus ihrer Besitzer. Ein Dieb oder Hacker kann also mit Leichtigkeit ein für ihn interessantes Fahrzeug finden.“

ANZEIGE

Das Samsung Galaxy S7 und Galaxy S7 Edge im Business-Einsatz

Die Samsung-Smartphones Galaxy S7 und S7 Edge zählen unter Privatanwendern zu den beliebtesten Android-Smartphones. Dank Samsung KNOX und dem kürzlich aufgelegten Enterprise Device Program sind sie auch für den Unternehmenseinsatz gut geeignet.

Anfänglich habe sich Mitsubishi nicht für die Details der Schwachstelle interessiert. Das habe sich erst nach den ersten Presseberichten geändert. Inzwischen sei ein Fix in Arbeit. Mitsubishi selbst teilte mit, es sei bisher kein anderer Hacking-Angriff auf Outlander-Fahrzeuge weltweit bekannt und man nehme den Vorfall „sehr ernst“.

Betroffenen Fahrzeugbesitzern rät Mitsubishi, das WLAN-Modul des Fahrzeugs über das Fahrzeugsystem durch Auswahl von „VIN Registrierung aufheben“ abzuschalten. Dies sei auch über die mobile App möglich, die anschließend allerdings unbrauchbar sei – bis ein Fix zur Verfügung stehe.

Die Sicherheit von Fahrzeugsystemen steht schon länger in der Kritik. Im vergangenen Jahr knackte ein Hacker das OnStar-Fahrzeugsystem von General Motors, was es ihm sogar erlaubte, das Fahrzeug aus der Ferne zu starten. Fiat Chrysler rief aufgrund einer Sicherheitslücke in seinem Fahrzeugsystem sogar rund 1,4 Millionen Fahrzeuge in die Werkstätten, um über ein Software-Update Sicherheitsfunktionen nachzurüsten.

[mit Material von Charlie Osborne, ZDNet.com]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Google stopft schwerwiegendes Sicherheitsloch in Chrome

Es erlaubt das Einschleusen und Ausführen von beliebigem Code. Dem Entdecker der Chrome-Lücke zahlt Google…

10 Stunden ago

Kritische Sicherheitslücken im Linux CUPS-System aufgedeckt

Schwachstellen betreffen Linux-Umgebungen und können zur Ausführung von schädlichem Code führen.

16 Stunden ago

Weltweiter PC-Markt schrumpft im dritten Quartal

Während der US-Markt um 5,6 Prozent wächst, bricht der Absatz in China um 10 Prozent…

1 Tag ago

Wie haben technologische Innovationen das Internet sicherer gemacht?

Mit der wachsenden Verbreitung digitaler Technologien haben auch die Bedrohungen im Internet in den letzten…

2 Tagen ago

Oktober-Patchday: Microsoft schließt aktiv ausgenutzte Zero-Day-Lücken

Von fünf Zero-Day-Lücken werden zwei bereits von Hackern eingesetzt. Insgesamt bringt der Oktober-Patchday Fixes für…

2 Tagen ago

KI-Bots auf der Spur

KI-Bots scrapen durchs Netz, sammeln Inhalte, um KI-Modelle wie Chat GPT zu füttern. Lässt sich…

2 Tagen ago