Forscher knacken Mitsubishi Outlander per WLAN

Experten des Sicherheitsanbieters PenTestPartners haben eine Sicherheitslücke im WLAN-Modul eines Fahrzeugs des japanischen Automobilherstellers Mitsubishi gefunden. Die Schwachstelle erlaubt es demnach, das Alarmsystem der Plug-in Hybrid-Variante des SUVs Outlander abzuschalten. Außerdem ist es möglich, verschiedene Einstellungen zu verändern und die Batterie des Fahrzeugs zu leeren.

Mitsubishi Outlander (Bild: Mitsubishi).

Von der Anfälligkeit profitieren vor allem potenzielle Autodiebe. Sie erhalten so mehr Zeit, um den Motor des Fahrzeugs zu starten und es zu entwenden. Hierzulande ist der Plug-in Hybrid Outlander zu einem Basispreis ab 39.990 Euro zu haben.

Die Schwachstelle beruht den Forschern zufolge auf der „ungewöhnlichen“ Art, in der sich die mobile App mit dem Outlander verbindet. Statt ein GSM-Modul zu nutzen, haben die Entwickler einen WLAN-Access-Point in das Fahrzeug integriert, allerdings ohne gängige Sicherheitspraktiken zu beachten.

Das voreingestellte WLAN-Passwort war demnach so kurz, dass ein Computer mit vier GPUs weniger als vier Tage benötigte, um es zu knacken, so die Forscher weiter. Über einen Man-in-the-Middle-Angriff sei es schließlich gelungen, den Datenverkehr zwischen App und Fahrzeug abzufangen und das Fahrzeugsystem über den Diagnoseanschluss zu kompromittieren.

Anschließend steuerten die Mitarbeiter von PenTestPartners nicht nur die Alarmanlage, sondern auch die Beleuchtung und die Klimaanlage. „Einmal entsperrt sind wahrscheinlich noch mehr Angriffe möglich“, erklärten die Forscher. „Der Diagnoseanschluss ist zugänglich, sobald die Tür entriegelt wurde. „Ob sich darüber, wie zeitweise bei Fahrzeugen von BMW möglich, auch neue Türschlüssel programmieren lassen, haben die Forscher nach eigenen Angaben nicht überprüft.

Ein weiteres Problem ist nach Ansicht der Sicherheitsexperten der unverwechselbare voreingestellte Name des WLAN-Netzwerks. „Einige haben wir entdeckt, während sie gefahren sind, andere standen vor dem Haus ihrer Besitzer. Ein Dieb oder Hacker kann also mit Leichtigkeit ein für ihn interessantes Fahrzeug finden.“

Anfänglich habe sich Mitsubishi nicht für die Details der Schwachstelle interessiert. Das habe sich erst nach den ersten Presseberichten geändert. Inzwischen sei ein Fix in Arbeit. Mitsubishi selbst teilte mit, es sei bisher kein anderer Hacking-Angriff auf Outlander-Fahrzeuge weltweit bekannt und man nehme den Vorfall „sehr ernst“.

Betroffenen Fahrzeugbesitzern rät Mitsubishi, das WLAN-Modul des Fahrzeugs über das Fahrzeugsystem durch Auswahl von „VIN Registrierung aufheben“ abzuschalten. Dies sei auch über die mobile App möglich, die anschließend allerdings unbrauchbar sei – bis ein Fix zur Verfügung stehe.

Die Sicherheit von Fahrzeugsystemen steht schon länger in der Kritik. Im vergangenen Jahr knackte ein Hacker das OnStar-Fahrzeugsystem von General Motors, was es ihm sogar erlaubte, das Fahrzeug aus der Ferne zu starten. Fiat Chrysler rief aufgrund einer Sicherheitslücke in seinem Fahrzeugsystem sogar rund 1,4 Millionen Fahrzeuge in die Werkstätten, um über ein Software-Update Sicherheitsfunktionen nachzurüsten.

[mit Material von Charlie Osborne, ZDNet.com]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.