Volkswagen wurde Auto-Hacking Anfälligkeiten anfällig, ein detaillierter Computest Bericht vor kurzem enthüllt. Forscher ausgegraben, dass die IVI-Systeme (In-Vehicle Infotainment) in einigen Volkswagen Modelle sind anfällig für Remote-Hacking. Diese Sicherheitsanfälligkeiten können auch auf den Kompromiss von anderen kritischen Fahrzeugsysteme führen.
Technische Details zu den Forschungs
Insbesondere, Forscher Thijs Alkemade und Daan Keuper entdeckt die Verwundbarkeit in Golf GTE Volkswagen und die Audi3 Sportback e-tron. Der Fehler könnte erlauben Hacker Kontrolle über kritische Funktionen in einigen Fällen zu nehmen. Die Funktionen umfassen Drehen Sie das Mikrofon des Autos ein- und ausschalten, das Mikrofon Anwerbung des Fahrers Gespräche zu hören, und der Zugang zu einem Konversationsverlauf und das Adressbuch des Automobils. Hinzu kommt, dass, sagten die Forscher, dass Angreifer auch das Auto über das Navigationssystem verfolgen könnte.
Eine zunehmende Anzahl von Autos verfügen über eine Internetverbindung, und einige Autos haben sogar zwei Mobilfunkverbindungen auf einmal, schrieben die Forscher. Diese Verbindung kann beispielsweise durch das IVI-System verwendet werden, um Informationen zu erhalten, wie Karten-Daten, oder zu bieten Funktionalitäten wie ein Internetbrowser oder ein Wi-Fi-Hotspot oder Besitzer die Möglichkeit zu geben, einige Funktionen über eine mobile App zu steuern.
Für ihren Bericht, Die Forscher konzentrierten sich speziell auf Angriffsvektoren, die über das Internet und ohne Zutun des Benutzers ausgelöst werden könnte. Das Ziel, das die Forschung inspiriert war, ob das Fahrverhalten oder andere kritische Sicherheitsbauteile im Auto zu sehen, beeinflusst werden könnte. Mit anderen Worten, Die Forscher wollten den Zugang zum High-Speed-CAN-Bus gewinnen, welche verbindet Komponenten wie die Bremsen, Lenkrad und der Motor.
Die Forschung begann mit einem Volkswagen Golf GTE, von 2015, mit dem Car-Net App:
Dieses Auto hat ein IVI-System von Harman hergestellt, bezeichnet als die modulare Plattform Infotainment (MIB). Unser Modell wurde mit der neueren Version ausgestattet (Version 2) diese Plattform, die hatte mehrere Verbesserungen aus der vorherigen Version (wie Apple Carplay). Wichtig zu beachten ist, dass unser Modell keine separate SIM-Kartenfach hatte. Wir gingen davon aus, dass die Mobilfunkverbindung einen eingebetteten SIM verwendet, im Inneren des Systems IVI, aber diese Annahme würde später heraus ungültig sein.
Wir können aus der Ferne die MIB-IVI-System eindringen und von dort beliebige CAN-Nachrichten auf dem IVI CAN-Bus senden. Infolge, wir können den zentralen Bildschirm steuern, Lautsprecher, und Mikrofon. Dies ist eine Zugriffsebene, die kein Angreifer soll in der Lage sein, zu erreichen,.
Der nächste Schritt der Forschung zu versuchen, wäre gewesen, die Kontrolle über die Sicherheit des Autos kritischer Komponenten zu nehmen, wie das Brems- und Beschleunigungssystem des Fahrzeugs.
Jedoch, nach gründlicher Überlegung, die beiden Forscher beschlossen, ihre an diesem Punkt einzustellen, da dies möglicherweise geistiges Eigentum des Herstellers gefährden und möglicherweise gegen das Gesetz verstößt.
Volkswagen Antwort auf den Vulnerability Disclosure
Da Volkswagen hat keine verantwortungsvolle Offenlegung Politik auf ihrer Website vorgestellten hat, berichteten die Forscher, die Mängel zu Volkswagen externen Anwalt im Juli 2017. Ein tatsächliches Treffen mit dem Unternehmen kam es auch im nächsten Monat, August.
Dies ist, was die Forscher sagte in einer Stellungnahme:
Während unseres Treffens mit Volkswagen, wir hatten den Eindruck, dass die gemeldete Sicherheitsanfälligkeit und vor allem unser Ansatz war noch unbekannt. Wir haben verstanden, in unserer Sitzung mit Volkswagen, dass, obwohl es in zig Millionen Fahrzeuge weltweit eingesetzt werden, dieses spezifische IVI-System hat keine formale Sicherheitsprüfung und die Verwundbarkeit noch unbekannt war, um sie zu unterziehen. Jedoch, in ihrem Feedback zu dieser Veröffentlichung angegeben Volkswagen, dass sie bereits zu dieser Sicherheitsanfälligkeit wussten.
Volkswagen sah in die Mängel, und sagte, dass es war nicht dabei, eine öffentliche Erklärung zu veröffentlichen, sondern würde eher die Forschung überprüft ihre Aussagen zu überprüfen. Das Unternehmen hat die Forschung Papier überprüfen, und die Überprüfung selbst wurde im Februar abgeschlossen, 2018. “Im April 2018, Recht, bevor das Papier wurde für die Öffentlichkeit freigegeben, Volkswagen hat uns mit einem Brief, der die Schwachstellen und erwähnt bestätigt, dass sie in einem Software-Update für das Infotainment-System werden behoben. Dies bedeutet, dass seit diesem Update produzierten Autos nicht von den Sicherheitsanfälligkeiten betroffen sind wir gefunden,” Die Forscher stellten fest.
Schließlich, Es sei noch einmal darauf hingewiesen werden, dass die gehackten Automodelle waren aus 2015. Wenn Sie zufällig besitzen eine Audi oder Volkswagen aus diesem Jahr, Sie sollten Ihren Autohändler kontaktieren Informationen über das Software-Update zu erhalten.