Cyberanfälligkeit der Infrastruktur von Connected Cars aufgedeckt

| Autor / Redakteur: nach Unterlagen von Kaspersky Labs / Gerd Kucera

Ladevorrichtung am heimischen Stromnetz: extern initiierte Befehle und Brute Forcing als Gefahr.
Ladevorrichtung am heimischen Stromnetz: extern initiierte Befehle und Brute Forcing als Gefahr. (Bild: Kaspersky Lab)

Kaspersky hat Sicherheitslücken in Ladegeräten für Connected Cars gefunden und warnt grundsätzlich vor der Cyberanfälligkeit der Infrastruktur, um Hersteller und Anwender zu sensibilisieren.

Während Automobilhersteller moderne Elektrofahrzeuge ständig auf Schwachstellen testen, bleiben laut Kaspersky einige ihrer wichtigsten Zubehörteile oft ungeprüft, etwa die Batterieladegeräte. Experten von Kaspersky Lab haben herausgefunden, dass von einem großen Anbieter gelieferte Ladegeräte für Elektrofahrzeuge von außen kompromittierbare Schwachstellen aufweisen. Dadurch könnten Cyberangreifer unter anderem Schäden am heimischen Stromnetz verursachen.

Inzwischen gehören vielerorts öffentliche und private Ladestationen für Elektrofahrzeuge zum Alltagsbild. Deren wachsende Beliebtheit veranlasste die Experten von Kaspersky Lab dazu, weit verbreitete und für private Garagen gedachte Ladegeräte, die über eine Fernzugriffsfunktion verfügen, zu überprüfen.

Das Ergebnis: Ein angeschlossenes Ladegerät kann im Falle einer Kompromittierung zur Gefahr für die Stromversorgung werden; auch wäre es in der Lage, das entsprechende Netzwerk zum Erliegen zu bringen. Mögliche Auswirkungen: finanzielle Verluste oder im schlimmsten Fall eine Beschädigung anderer, an das Netzwerk angeschlossener Geräte.

Extern initiierte Befehle und Brute Forcing als Gefahr

Die Experten fanden heraus, wie sich Befehle am Ladegerät auslösen lassen, die den Ladeprozessor stoppen oder diesen auf den maximal möglichen Stromfluss einstellen können. Während die erste Option lediglich dazu dienen könnte, eine Person an der Nutzung des Autos zu hindern, käme es bei der zweiten möglicherweise zu einer Überhitzung von Geräten, die nicht durch eine selbstrückstellende Sicherung geschützt sind.

Ein Angreifer muss nur den WLAN-Zugriff auf das Netzwerk, mit dem das Ladegerät verbunden ist, modifizieren, um die Menge des Strombezugs ändern zu können. Da die Geräte für den privaten Gebrauch bestimmt sind, ist die Sicherheit des drahtlosen Netzwerkes entsprechend begrenzt.

Das ermöglicht Angreifern leichten Zugang, etwa durch Brute Forcing, der konsequenten Verwendung aller möglichen Passwortoptionen. Sekundenschnell sind mit einem leistungsstarken PC Millionen von Passwörtern ausprobiert. Ist der Zugangscode nur eine Zahlenfolge oder eine Buchstabenkombination, dann geht es noch schneller. Laut Statistiken von Kaspersky Lab wurden 94% aller Angriffe auf IoT-Technologien im Jahr 2018 durch Telnet und SSH Password Brute Forcing verursacht.

Innerhalb des drahtlosen Netzwerks können Eindringlinge die IP-Adresse des Ladegeräts leicht identifizieren, was es ihnen wiederum ermöglicht, Schwachstellen auszunutzen und Prozesse zu stören.

„Oftmals wird vergessen, dass Cyberkriminelle bei einem gezielten Angriff immer nach dem am wenigsten offensichtlichen Ziel suchen, um möglichst unbemerkt zu bleiben. Deshalb ist es essentiell, nicht nur bei neuen, bisher noch nicht getesteten, Entwicklungen nach Schwachstellen zu suchen, sondern auch deren technologisches Zubehör unter die Lupe zu nehmen. Dieses ist in der Regel ein begehrtes Einfallstor für Cyberkriminelle.

Anbieter von Connected Cars sollten deshalb besondere Sorgfalt walten lassen und Experten für Cybersicherheit mit der Überprüfung ihrer Geräte und des Zubehörs beauftragen. Im Falle der identifizierten Schwachstellen hatten wir das Glück, eine positive Reaktion des Herstellers zu erhalten, die zu einem schnellen Patch der Geräte führte. So konnten wir potenziellen Angriffen vorbeugen“, konstatiert Dmitry Sklyar, Sicherheitsforscher bei Kaspersky Lab.

Sicherheitsempfehlungen von Kaspersky Lab

  • Regelmäßige Aktualisierung aller intelligenten Geräte auf die neuesten Software-Versionen. Updates können Patches für kritische Sicherheitslücken enthalten.
  • Keine Verwendung des Standardkennworts für WLAN-Router und andere Geräte (starkes Passwort, niemals für mehrere Anwendungen oder Geräte gleichzeitig).
  • Das Smart Home Network soll vom Heimnetzwerk, das von verschiedenen Endgeräten für reine Internet-Suchfunktionen genutzt wird, getrennt sein.
Angriff der Waschmaschinen: Anzahl von IoT-Malware nimmt drastisch zu

Angriff der Waschmaschinen: Anzahl von IoT-Malware nimmt drastisch zu

21.09.18 - Im ersten Halbjahr 2018 gab es bereits dreimal mehr Cyber-Attacken auf IoT-Geräte als 2017, hat Kaspersky Lab ermittelt. Auch Industrial-IoT-Angebote sind zunehmend gefährdet. Kurios: Die Viren-Jäger registrierten sogar einen konzertierten Angriff von 33 gehackten Waschmaschinen auf ihren Honeypot. lesen

Wie werden sich die Telematik und das vernetzte Auto weiterentwickeln und welche Gefahren drohen dem autonomen Fahren? Cyber-Angreifer entwickeln ihre Methoden und Taktiken permanent weiter. Zunehmend haben sie es auf das Internet of Things (IoT) abgesehen. Allein im ersten Halbjahr 2018 attackierten mehr als 120.000 unterschiedliche Malware-Varianten weltweit gezielt vernetzte IoT-Endgeräte. Das sind nach Kaspersky-Analyse dreimal mehr derartige Angriffe als im gesamten Jahr 2017.

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45723325 / Energieeffizienz)