Carjacking, das Hacken von Autos, ist nicht neu. Zwei der Protagonisten sind Charlie Miller und Chris Valasak. In einem Experiment gelang es ihnen, einen Jeep Cherokee zu hacken. Über das Funknetz konnten sie auf die Funktionen des Bordcomputers zugreifen, mit dem Radio spielen, die Klimaanlage an- und ausschalten und den Scheibenwischer anstellen. Es war sogar möglich, die Gaszufuhr beliebig zu regeln und die Bremsen zu manipulieren. Obwohl der Fahrer aufs Gas trat, blieb der Motor im untersten Drehzahlbereich, die Bremsen waren außer Kontrolle. Das Besondere, Hacker und Auto war 11 Kilometer voneinander entfernt.

Diese Art von Angriff ist für Miller und Valasak nicht der erste. Sie brachen schon in einen Ford Escape und in einen Toyota Prius ein. Damals saßen Miller und Valasak allerdings noch auf der Rückbank des Autos und steuerten den Wagen von ihrem Laptop aus. Dieses Mal waren sie an einem komplett anderen Ort und verbanden sich nur über WLAN mit dem Jeep.

Über eine schwerwiegende Sicherheitslücke griffen sie den Computer des Autos an und bemächtigten sich des Bordrechners (Zero-Day-Angriff). So ein Angriff verändert grundlegend die Art und Weise des Lenkers, wie er seine Umwelt wahrnimmt und meint, dass die Dinge funktionieren – oder auch nicht. Man verliert als Fahrer das Vertrauen in das eigene Auto, denn man weiß nie, was als Nächstes kommt.

Die Programmentwickler Miller und Valasak wollen Anfang August Teile des Exploits auf der Black Hat Security Konferenz präsentieren. Der Jeep kann auch gänzlich überwacht werden, sowohl die GPS-Koordinaten als auch die Geschwindigkeit können ausgelesen werden.

Das ist möglich, weil Autohersteller wie Chrysler ihre Autos in ein Smartphone verwandeln wollen. Uconnect – ein Computerfeature – steuert das Entertainmentsystem und die Navigation, ermöglicht Telefongespräche sowie die mobile Netzanbindung von hunderttausenden von Fiat-Chrysler-Autos und das Hacken der Bordcomputer.

„From an attacker’s perspective, it’s a super nice vulnerability.“

Die beiden Security-Forscher arbeiten schon seit neun Monaten mit Chrysler zusammen, damit der Fehler behoben werden kann. Das Update für den Bordcomputer muss manuell eingespielt werden. Dazu hat Chrysler nun 1,4 Millionen Fahrzeuge in die Werkstätten geordert.

Folgende Fahrzeuge sind davon betroffen:

• 2013-2015 MY Dodge Viper Specialty Vehicles
• 2013-2015 Ram 1500, 2500 und 3500 Pickups
• 2013-2015 Ram 3500, 4500, 5500 Chassis Cabs
• 2014-2015 Jeep Grand Cherokee und Cherokee SUVs
• 2014-2015 Dodge Durango SUVs
• 2015 MY Chrysler 200, Chrysler 300 und Dodge Charger Limousinen
• 2015 Dodge Challenger Sportcoupés

Man würde meinen, dass gewisse Sicherheitsregeln bei der Entwicklung der Systeme selbstverständlich eingehalten werden, wie z.B. die physikalische Trennung der Internetzugänge von den Komponenten des Autos. Leider sprechen die Fakten eine andere Sprache.

Artikel von wired.com, 21.07.2015: Hackers Remotely Kill a Jeep on the Highway—With Me in It
Artikel von wired.com, 24.07.2015: After Jeep Hack, Chrysler Recalls 1.4M Vehicles for Bug Fix