Pressemitteilung von PCAutomotive

Sicherheitslücken im Skoda Superb III aufgedeckt

---

---

Nach monatelanger Forschung demonstrierte das Team von PCAutomotive seinen Ansatz zur praktischen Bewertung der Fahrzeugsicherheit und legte mehrere Schwachstellen offen, die es in einem 2022er Skoda Superb III entdeckt hatte. Die Präsentation fand auf der Online-Konferenz "Secure Our Streets" am 14. September 2023 statt. Mit den in ihrer Präsentation beschriebenen Forschungsmethoden konnten die Experten von PCAutomotive unter anderem eine Möglichkeit entdecken, den Motor des Fahrzeugs während der Fahrt mit hoher Geschwindigkeit über die OBDII-Schnittstelle des Fahrzeugs aus der Ferne abzuschalten.

Die Experten von PCAutomotive sind seit 2018 aktiv an der Sicherheitsforschung im Automobilbereich beteiligt. In diesen Jahren konnten wir die Entwicklung von Fahrzeugsicherheitsmechanismen über Fahrzeugtypen und Marken hinweg beobachten. Hersteller und Zulieferer haben erhebliche Anstrengungen unternommen, um Fahrzeugnutzer vor Cybersicherheitsvorfällen zu schützen. Sicherheit ist jedoch kein fester Zustand, sondern ein ständiges Unterfangen - ein Rennen ohne Ziellinie. Mit neuen digitalen Funktionen kommen neue Angriffsvektoren, die angegangen werden müssen, um unsere Straßen sicher zu halten.

Die Experten von PCAutomotive haben dieses Problem sowie die Bedürfnisse der Industrie in Bezug auf qualifizierte Sicherheitsforschung und -analysten erkannt und eine Sicherheitsbewertungsgruppe aufgebaut, die über die erforderliche Ausrüstung und das Wissen verfügt, um eine hochwertige Sicherheitsüberprüfung und -validierung von Automobilprodukten, wie Fahrzeugen, elektrischen Ladegeräten, elektronischen Steuerblöcken, drahtlosen Kommunikationskanälen und Fahrzeuganwendungen, durchzuführen.

Um die Aufmerksamkeit auf ihre Fähigkeiten zu lenken und ihre Erfahrungen mit der Öffentlichkeit zu teilen, hat PCAutomotive vor kurzem einen Vortrag auf der Secure Our Streets 2023 veröffentlicht, in dem erklärt wird, wie man Sicherheitsanalysen moderner Fahrzeuge mit nahezu null anfänglichem Wissen über das Zielobjekt durchführt, wobei alle Schritte von der Informationsbeschaffung bis zur Offenlegung von Schwachstellen abgedeckt werden.

Der Vortrag umfasste auch neun neu aufgedeckte Schwachstellen, die mit diesem Ansatz im SKODA SUPERB III des Jahres 2022 entdeckt wurden, darunter unbeabsichtigte Debug- Funktionen, fest kodierte Passwörter sowie Probleme bei der Offenlegung von Informationen in der Backend-Server-API. Und, was am kritischsten ist, die Experten von PCAutomotive fanden ein Problem in der OBDII-Diagnoseschnittstelle, das es das Team ermöglichte, den Motor des Fahrzeugs auch bei hohen Geschwindigkeiten abzuschalten. Die Experten von PCAutomotive erklären, dass dieser Angriff zwar einen anfänglichen Zugriff auf die OBD-Schnittstelle erfordert, dass es aber schwierig ist, ein Fahrzeug ständig physisch zu sichern (z. B. in einer Autowaschanlage, beim Service usw.). Die Installation eines winzigen OBD-Adapters mit Mobilfunkverbindung reicht aus, um den Standort und die Geschwindigkeit des Fahrzeugs zu ermitteln und später aus der Ferne eine Motorabschaltung vorzunehmen.

Die Experimente von PCAutomotive auf der berühmten Formel-1-Rennstrecke Hungaroring in der Nähe von Budapest zeigen, dass der Angriff glücklicherweise durch den Kilometerstand seit dem letzten Öffnen des Kofferraums begrenzt wird, obwohl er nicht durch die Fahrzeuggeschwindigkeit eingeschränkt wird. Dies wurde später von Volkswagen bestätigt.

Darüber hinaus entdeckte das Team von PCAutomotive zwölf weitere Schwachstellen im Fahrzeug, die es ermöglichen, drahtlos die Kontrolle über das Infotainment-System des Fahrzeugs zu übernehmen. Diese Probleme werden derzeit vom Volkswagen Cyber Security Incident Response Team behoben. Technische Details werden veröffentlicht, sobald Volkswagen die betroffenen Fahrzeuge mit den entsprechenden Korrekturen ausstattet. Sowohl Skoda als auch Volkswagen haben diese Erkenntnisse ernst genommen und alle aufgedeckten Probleme angesprochen. Alle neun aufgedeckten Schwachstellen haben bereits CVE-Nummern von der ASRG (Automotive Security Research Group) erhalten, der CVE-Nummerierungsstelle für den Automobilbereich.

"Autos und Fahrzeuginfrastrukturen sind anspruchsvolle Forschungsziele für ethische Hacker wie uns", sagt Danila Parnishchev, Sicherheitsforscher und Leiter der Sicherheitsbewertung bei PCAutomotive. "Unter allen Autos verschiedener Marken, die unser Team überprüft hat, war keines frei von Sicherheitsproblemen. Es ist für mich jedes Mal erschreckend zu sehen, wie unser Team die Kontrolle über ein Testfahrzeug aus der Ferne übernimmt, Gespräche und Telefonate im Fahrzeug abfängt oder das Fahrzeug durch Drehen des Lenkrads ins Gelände bringt, ohne es auch nur zu berühren. Da wird mir klar, dass es noch so viel zu tun gibt, um die Endnutzer zu schützen." Firmen- & Pressekontakt