Bis zu 100 Millionen Volkswagen (VW) Autos Fahrzeuge, die in den letzten 20 Jahren verkauft wurden, könnten gehackt und möglicherweise gestohlen werden, dank einer Sicherheitslücke, die im schlüssellosen Zugangssystem der Fahrzeuge gefunden wurde.
Laut Forschern der University of Birmingham, die die Schwachstelle entdeckt haben, ist der Hack VW seit zwei Jahren bekannt. Auf Geheiß des Autoherstellers ein britisches Gericht hinderte sie daran, es öffentlich zu machen.
Ausführlich in einem Zweijährigen Forschungsbericht der nun endlich das Licht der Welt erblicken kann, soll es Hackern ermöglichen, Autos zu stehlen, indem sie einfach die Funkfrequenz kopieren, die in ferngesteuerten Schließsystemen verwendet wird. Dies wird als Remote-Cloning-Angriff bezeichnet.
Volkswagen hat den Hack zwei Jahre lang geheim gehalten (Bild: Getty Images)
Die Schwachstelle wurde entdeckt, als die Forscher in der Lage waren, schlüssellose Zugangskontrollen von VW zu klonen, indem sie in der Nähe lauschten, wenn Fahrer ihre Schlüsselanhänger drücken, um ihre Autos zu öffnen oder zu verriegeln.
Der Angriff könnte es also Dieben ermöglichen, bis auf wenige Ausnahmen praktisch jedes Fahrzeug, das der VW-Konzern in den letzten zwei Jahrzehnten verkauft hat, drahtlos aufzuschließen.
Zu den Fahrzeugen, die für den Angriff anfällig sind, gehören 100 Millionen Fahrzeuge des VW-Konzerns, die seit 1995 verkauft wurden, mit Ausnahme der aktuellen Modelle Golf, Tiguan, Touran und Passat.
Da die schlüssellosen Zugangssysteme höchstwahrscheinlich von demselben Autoteilezulieferer wie VW hergestellt wurden, sagten die Forscher, dass andere Autohersteller betroffen sind, darunter die meisten Audi-, Seat- und Skoda-Modelle, die das System verwenden.
Der Fehler wurde auch in Automodellen gefunden, die so neu sind wie das Audi Q3-Modell von 2016, fügten die Sicherheitsexperten hinzu.
„Es ist denkbar, dass alle Autos des VW-Konzerns (außer einigen Audi), die in der Vergangenheit und teilweise heute hergestellt wurden, auf ein „Constant-Key“-Schema setzen und daher anfällig für die Angriffe sind“, heißt es in dem Papier.
Die einzige Ausnahme, die die Forscher fanden, waren Autos, die auf der neuesten MQB-Produktionsplattform von VW gebaut wurden, die in seinem meistverkauften Modell, dem Golf VII, verwendet wird, bei dem sie den schlüssellosen Fehler nicht hatten.
Der neue Golf GT Edition sei von dem Hack nicht betroffen, teilte VW mit
„Diese aktuelle Fahrzeuggeneration ist von den beschriebenen Problemen nicht betroffen“, sagte VW-Sprecher Peter Weisheit Reuters , ohne die Risiken für andere Modelle zu kommentieren.
Das Forschungsergebnisse werden schließlich präsentiert auf der Usenix-Sicherheitskonferenz in Austin, Texas.
Richard Kirk, Senior Vice President der Sicherheitsfirma AlienVault, sagte, die Nachricht sei ein weiterer Beweis dafür, dass die Autohersteller die Cybersicherheit ernst nehmen.
'Man muss davon ausgehen, dass die Hersteller angesichts der jüngsten hochkarätigen Auto-Hacks ihre Herangehensweise an die Sicherheit geändert haben, dies wird jedoch nicht veröffentlicht', sagte er.
'Vielleicht sollten sie mit ihrer Arbeit prahlen, da versierte Kunden zweifellos bald anfangen werden, Fragen zu stellen.'
Er fügte hinzu, dass die Verantwortung und Haftung für einen solchen Angriff je nach Land und Rechtsprechung beim Autohersteller, Versicherer oder Fahrer selbst liegen könne.
Volkswagen VW-Abzeichen (Bild: Rex-Funktionen)
„Es wird wahrscheinlich einige Zeit dauern, bis Cybervorfälle vor Gericht angefochten werden, bevor klare Verantwortlichkeiten klar werden“, sagte er.
„Wenn Versicherungsunternehmen die Initiative ergreifen und anfangen, Cyber-Deckung in ihre Policen aufzunehmen, könnten sie davon profitieren, dass sie Fahrer schützen, aber Cyber-Versicherungen sind kein gut verstandenes Geschäft.“
Erst Anfang dieser Woche stellte sich heraus, dass die Hälfte der vernetzten Autos Gefahr läuft, von Hackern gekapert zu werden.
Das war nach Angaben der Firma, die es letztes Jahr geschafft hat, einen Jeep zu hacken und von der Straße zu lenken.
Das gelang Forschern von IOActive die Kontrolle übernehmen des Chrysler Jeep Cherokee aus meilenweiter Entfernung, während er von Wired-Reporter Andy Greenberg gefahren wurde.
Der neue Bericht von IOActive besagt, dass etwa 51 % der vernetzten Autos von einer ähnlichen Übernahme bedroht sein könnten.
Im vergangenen Jahr gelang es Forschern, den Chrysler Jeep Cherokee aus meilenweiter Entfernung zu hacken und zu kontrollieren (Bild: Dave Pinter/Flickr)
Darüber hinaus könnten laut dem Bericht 71 % der aufgedeckten Sicherheitslücken „ohne große Schwierigkeiten ausgenutzt werden oder werden mit ziemlicher Sicherheit ausgenutzt“.
Sicherheitstests wurden an Autos der „weltweit führenden Fahrzeughersteller“ durchgeführt, die zu Daten aus drei Jahren führten, auf denen der Bericht basierte.
Umfrage laden
