Nach monatelanger Forschung demonstrierte das Team von PCAutomotive seinen Ansatz zur praktischen Bewertung der Fahrzeugsicherheit und legte mehrere Schwachstellen offen, die es in einem 2022er Skoda Superb III entdeckt hatte. Die Pr?sentation fand auf der Online-Konferenz “Secure Our Streets” am 14. September 2023 statt. Mit den in ihrer Pr?sentation beschriebenen Forschungsmethoden konnten die Experten von PCAutomotive unter anderem eine M?glichkeit entdecken, den Motor des Fahrzeugs w?hrend der Fahrt mit hoher Geschwindigkeit ?ber die OBDII-Schnittstelle des Fahrzeugs aus der Ferne abzuschalten.
Die Experten von PCAutomotive sind seit 2018 aktiv an der Sicherheitsforschung im Automobilbereich beteiligt. In diesen Jahren konnten wir die Entwicklung von Fahrzeugsicherheitsmechanismen ?ber Fahrzeugtypen und Marken hinweg beobachten. Hersteller und Zulieferer haben erhebliche Anstrengungen unternommen, um Fahrzeugnutzer vor Cybersicherheitsvorf?llen zu sch?tzen. Sicherheit ist jedoch kein fester Zustand, sondern ein st?ndiges Unterfangen – ein Rennen ohne Ziellinie. Mit neuen digitalen Funktionen kommen neue Angriffsvektoren, die angegangen werden m?ssen, um unsere Stra?en sicher zu halten.
Die Experten von PCAutomotive haben dieses Problem sowie die Bed?rfnisse der Industrie in Bezug auf qualifizierte Sicherheitsforschung und -analysten erkannt und eine Sicherheitsbewertungsgruppe aufgebaut, die ?ber die erforderliche Ausr?stung und das Wissen verf?gt, um eine hochwertige Sicherheits?berpr?fung und -validierung von Automobilprodukten, wie Fahrzeugen, elektrischen Ladeger?ten, elektronischen Steuerbl?cken, drahtlosen Kommunikationskan?len und Fahrzeuganwendungen, durchzuf?hren.
Um die Aufmerksamkeit auf ihre F?higkeiten zu lenken und ihre Erfahrungen mit der ?ffentlichkeit zu teilen, hat PCAutomotive vor kurzem einen Vortrag auf der Secure Our Streets 2023 ver?ffentlicht, in dem erkl?rt wird, wie man Sicherheitsanalysen moderner Fahrzeuge mit nahezu null anf?nglichem Wissen ?ber das Zielobjekt durchf?hrt, wobei alle Schritte von der Informationsbeschaffung bis zur Offenlegung von Schwachstellen abgedeckt werden.
Der Vortrag umfasste auch neun neu aufgedeckte Schwachstellen, die mit diesem Ansatz im SKODA SUPERB III des Jahres 2022 entdeckt wurden, darunter unbeabsichtigte Debug- Funktionen, fest kodierte Passw?rter sowie Probleme bei der Offenlegung von Informationen in der Backend-Server-API. Und, was am kritischsten ist, die Experten von PCAutomotive fanden ein Problem in der OBDII-Diagnoseschnittstelle, das es das Team erm?glichte, den Motor des Fahrzeugs auch bei hohen Geschwindigkeiten abzuschalten. Die Experten von PCAutomotive erkl?ren, dass dieser Angriff zwar einen anf?nglichen Zugriff auf die OBD-Schnittstelle erfordert, dass es aber schwierig ist, ein Fahrzeug st?ndig physisch zu sichern (z. B. in einer Autowaschanlage, beim Service usw.). Die Installation eines winzigen OBD-Adapters mit Mobilfunkverbindung reicht aus, um den Standort und die Geschwindigkeit des Fahrzeugs zu ermitteln und sp?ter aus der Ferne eine Motorabschaltung vorzunehmen.
Die Experimente von PCAutomotive auf der ber?hmten Formel-1-Rennstrecke Hungaroring in der N?he von Budapest zeigen, dass der Angriff gl?cklicherweise durch den Kilometerstand seit dem letzten ?ffnen des Kofferraums begrenzt wird, obwohl er nicht durch die Fahrzeuggeschwindigkeit eingeschr?nkt wird. Dies wurde sp?ter von Volkswagen best?tigt.
Dar?ber hinaus entdeckte das Team von PCAutomotive zw?lf weitere Schwachstellen im Fahrzeug, die es erm?glichen, drahtlos die Kontrolle ?ber das Infotainment-System des Fahrzeugs zu ?bernehmen. Diese Probleme werden derzeit vom Volkswagen Cyber Security Incident Response Team behoben. Technische Details werden ver?ffentlicht, sobald Volkswagen die betroffenen Fahrzeuge mit den entsprechenden Korrekturen ausstattet. Sowohl Skoda als auch Volkswagen haben diese Erkenntnisse ernst genommen und alle aufgedeckten Probleme angesprochen. Alle neun aufgedeckten Schwachstellen haben bereits CVE-Nummern von der ASRG (Automotive Security Research Group) erhalten, der CVE-Nummerierungsstelle f?r den Automobilbereich.
“Autos und Fahrzeuginfrastrukturen sind anspruchsvolle Forschungsziele f?r ethische Hacker wie uns”, sagt Danila Parnishchev, Sicherheitsforscher und Leiter der Sicherheitsbewertung bei PCAutomotive. “Unter allen Autos verschiedener Marken, die unser Team ?berpr?ft hat, war keines frei von Sicherheitsproblemen. Es ist f?r mich jedes Mal erschreckend zu sehen, wie unser Team die Kontrolle ?ber ein Testfahrzeug aus der Ferne ?bernimmt, Gespr?che und Telefonate im Fahrzeug abf?ngt oder das Fahrzeug durch Drehen des Lenkrads ins Gel?nde bringt, ohne es auch nur zu ber?hren. Da wird mir klar, dass es noch so viel zu tun gibt, um die Endnutzer zu sch?tzen.”
Keywords:PCAutomotive, automotive cybersecurity, automotive cybersecurity assessment, skoda, superb, volkswagen