Fiat Chrysler hat 1,4 Millionen internetfähige Fahrzeuge zurückgerufen. Sie sind mit dem Infotainment-System Uconnect ausgestattet, das die Sicherheitsforscher Charlie Miller und Chris Valasek benutzt hatten, um die Anfälligkeit aktueller Automodelle für Hackerangriffe zu demonstrieren. Der Rückruf erfolge freiwillig als „Vorsichtsmaßnahme“, heißt es in einer am Freitag veröffentlichten Stellungnahme .
Am vergangenen Dienstag hatte Wired von einer Anfälligkeit in der Uconnect-Software eines Chrysler Jeep Cherokee berichtet. Die beiden Sicherheitsforscher waren in der Lage, darüber die vollständige Kontrolle über das Fahrzeug zu übernehmen. Sie kontrollierten nicht nur wesentliche Funktionen wie Klimaanlage und Bremsen, sondern konnten auch die Kraftübertragung abriegeln. Bei einem Versuch auf einem verkehrsreichen Highway verlangsamte sich das Fahrzeug immer mehr, obwohl der Fahrer Gas gab und der Motor aufdrehte. Nach der vollständigen Deaktivierung der Bremsen auf einem abgelegenen Parkplatz endete die Testfahrt schließlich in einem Graben.
Der Hack an sich erfolgte per Mobilfunk mit einem etwa 15 Kilometer entfernten Notebook. Miller und Valasek war es zuvor gelungen, einen Exploit für eine Zero-Day-Lücke in der Uconnet-Software zu entwickeln. Von diesem Einstiegspunkt aus schrieben sie die Firmware eines Chips so um, dass sie Befehle über den CAN-Bus schicken konnten, der für die Vernetzung von Steuergeräten in Automobilen sorgt.
Fiat Chrysler betonte nun, es habe keine Kenntnis von irgendwelchen weiteren Beschwerden oder Verletzungen im Zusammenhang mit der Software-Lücke. Das anfällige System mit 8,4-Zoll-Touchscreen finde sich in Fahrzeugen der Baujahre 2013 bis 2015, darunter die Modelle MY Dodge Viper, Ram Pickup 1500, 2500 und 3500, Ram Chassis Cab 3500, 4500 und 5500, Jeep Grand Cherokee und Cherokee, Dodge Durango, My Chrysler 200, 300 und Dodge Charger Sedan sowie Dodge Challenger.
Die Fahrzeugbesitzer erhalten von Fiat Chrysler nun einen USB-Stick, um die Firmware ihres Fahrzeugs zu aktualisieren. Das Update soll zudem „unabhängig von Maßnahmen auf Netzwerk-Ebene zusätzliche Sicherheitsfunktionen“ enthalten. „Diese Maßnahmen blockieren den Fernzugriff auf bestimmte Fahrzeugsysteme und wurden am 23. Juli innerhalb des Mobilfunknetzes vollständig getestet und implementiert.“ Schon zuvor hatte der Autokonzern erklärt, die neue Software lasse sich nicht Over-the-Air, also über das Mobilfunknetz installieren.
Wie Computerworld berichtet, plant die US-Aufsichtsbehörde National Highway Safety Administration nun eigene Ermittlungen zu der Sicherheitslücke. Die demokratischen Senatoren Edward Markey und Richard Blumenthal hätten zudem einen Gesetzentwurf vorgelegt, um sicherzustellen, dass Autohersteller Fahrer vor Cyberangriffen auf ihre Fahrzeuge schützen. Laut dem Security and Privacy in your Car (SPY Car) genannten Gesetz müssten Fahrzeuge künftig mit einer Technologie ausgestattet sein, die Hacking-Versuche in Echtzeit erkennen, melden und stoppen kann.
[mit Material von Zack Whittaker, ZDNet.com ]