Millionen Autos von Volkswagen und Audi können gehackt werden

Die Sicherheitsfirma Computest hat aufgedeckt, dass die Infotainment-Syteme von einigen Audi- und Volkswagenmodellen relativ einfach als Einfallstor für Hacker genutzt werden können. Getestet wurde das Vorgehen von den Forschern Daan Keuper und Thijs Alkemade an einem VW Golf GTE und einem Audi A3 Sportback E-Tron.

Die Angreifer sind in die Infotainment-Systeme des Herstellers Harman über die WLAN-Verbindung des Autos eingedrungen. Möglich wurde das durch einen nicht abgesicherten Port. Einmal im System können Angreifer unter anderem den Fahrer belauschen, indem sie auf die integrierte Freisprecheinrichtung zugreifen. Auch auf die Kontakte bzw. das Adressbuch und Nachrichtenverläufe kann zugegriffen werden, wie die Forscher erklärten. Um die Schwachstelle ausnützen zu können, ist es notwendig, dass sich die Angreifer in der Nähe des Autos beziehungsweise in Reichweite des Fahrzeug-WLANs befinden. 

Beschleunigen und Bremsen

Das Infotainment-System ist den Experten zufolge auch mit der Beschleunigung und dem Bremssystem der Autos verknüpft. Die Forscher haben laut eigenen Angaben hier aber nicht alle Möglichkeiten ausgetestet, weil die Gefahr bestand, dass sie gegen VW-Schutzrechte verstoßen und sich damit strafbar machen.

Keuper und Alkemade gaben an, dass auch der USB-Anschluss im Inneren des Autos für Angriffe missbraucht werden kann. „Die Schwachstellen, die wir identifiziert haben, hätten eigentlich im Rahmen eines ausführlichen Sicherheitstests gefunden werden müssen“, so die Forscher. Bei einem Treffen mit Volkswagen-Vertretern hatte es den Experten zufolge den Anschein, dass dem Unternehmen die Schwachstellen völlig neu waren, obwohl das System in vielen Millionen Fahrzeugen weltweit eingesetzt wird.

Lücke kann nur schwer geschlossen werden

Volkswagen gab an, die Lücke bei neu produzierten Autos zu schließen. Wie bereits ausgelieferte Fahrzeuge ein Update erhalten sollen, war unklar, da die Systeme nicht per Over-The-Air-Update aktualisiert werden können. Volkswagen wollte sich nach einer Anfrage von Bleeping Computer nicht zu dem geplanten Vorgehen äußern.

Wie genau die Forscher in das System eingedrungen sind, haben sie in ihrem Bericht nicht beschrieben. Demnach wollte man verantwortungsbewusst vorgehen und keine Anleitung zum Knacken der Autos liefern.