[English]Sicherheitsforscher haben sich das Infotainment-System von Skoda-Fahrzeugen näher angeschaut. Dabei sind sie gleich auf mehrere Schwachstellen gestoßen, die es Angreifern ermöglichen könnten, remote bestimmte Funktionen am Fahrzeug auszulösen und den Standort der Autos in Echtzeit zu verfolgen.
Anzeige
Das MIB3-Infotainment-System von VW
In Fahrzeugen der VW-Gruppe ist das MIB3-Infotainment-System verbaut. Nachfolgende Abbildung gibt einen Überblick über die betreffenden Features, bezogen auf ein Skoda-Modell.
VW MIB3-Infotainment-System
Aber wie sieht es aus, wenn das System Schwachstellen aufweist? Bereits 2022 und 2023 wurden zahlreiche Schwachstellen in diesem System gefunden und an VW gemeldet.
Neben Skoda findet sich dieses Infotainment-System, welches wohl 2021 eingeführt wurde, auch in Fahrzeugen von Seat und VW. Allerdings wird das System durch diverse Zulieferer gefertigt und für die VW-Gruppe bereitgestellt. Daher ist es unklar, ob überall die gleiche Firmware verwendet wird. Nachfolgende Informationen beziehen sich daher auf das System in Skoda-Fahrzeugen. Wenn ich die Vortragsfolien richtig deute, ist das Infotainment-System dieses Zulieferers aber auch in VW-Modellen verbaut – es sind also Millionen Fahrzeuge damit auf dem Markt.
PCAutomotive findet 12 Schwachstellen
Das auf den Automobilsektor spezialisiertes Cybersicherheitsunternehmen PCAutomotive hat sich der Frage der Sicherheit beim MIB3-Infotainment-System im Jahr 2024 erneut gewidmet. Beim Skoda Superb III (produziert zwischen 2015 und 2023), dessen Infotainment-System von der Preh Car Connect GmbH gefertigt wird, sind die Sicherheitsforscher dann gleich auf 12 neue Sicherheitslücken gestoßen, die sie kürzlich auf der Sicherheitskonferenz Black Hat Europe präsentiert haben.
Anzeige
Die Redaktion von Techcrunch berichtet in diesem Artikel über den Sachverhalt. Golem hat dies in nachfolgendem Tweet und diesem Artikel aufgegriffen.
Die Schwachstellen in der MIB3-Infotainment-Einheit des Fahrzeugs ermöglichen eine uneingeschränkte Codeausführung im System. Ein Angreifer könnte GPS-Koordinaten und Geschwindigkeitsdaten des Fahrzeugs abrufen, Gespräche über das Fahrzeugmikrofon aufzeichnen, Screenshots des Infotainment-Displays anfertigen und beliebige Sounds im Fahrzeug abspielen, gibt PCAutomotive an.
Laut Danila Parnishchev von PCAutomotive sind die Schwachstellen miteinander verknüpfbar. Dies würde Angreifern über Bluetooth ermöglichen, sich mit der Medieneinheit des Skoda Superb III zu verbinden, und Malware in das Fahrzeug einzuschleusen. Parnishchev sagte gegenüber TechCrunch, dass "ein Angriff im Abstand von 10 Metern zum Fahrzeug ohne Authentifizierung durchgeführt werden kann."
Die Vortragsfolien von der Black Hat-Konferenz mit einer Menge Details lassen sich hier abrufen. Gegenüber TechCrunch wies Parnishchev darauf hin, dass die Schwachstellen, die PCAutomotive selbst an einem Superb III verifiziert hat, es einem Angreifer auch ermöglichen, die Telefonkontaktdatenbank des Fahrzeugbesitzers zu exfiltrieren, wenn dieser die Kontaktsynchronisation mit seinem Auto aktiviert hat. "Normalerweise sind Telefone verschlüsselt, so dass man die Kontaktdatenbank nicht einfach extrahieren kann", zitiert Techchrung Parnishchev. "Im Falle der Infotainment-Einheit ist das möglich – die Kontaktdatenbank ist im Klartext gespeichert."
Anzeige
******************************************
dass "ein Angriff im Abstand von 10 Metern zum Fahrzeug ohne Authentifizierung durchgeführt werden kann."
******************************************
Ok muss dazu das Fahrzeug "betriebsbereit" sein, sprich Zündung an? Oder reicht da ein geparktes abgestelltes Auto mit Zündung aus. Den mein Infotainment System im Wagen ist aus wenn die Zündung aus ist.
Auf der Autobahn im Stau – oder im dichten Stadtverkehr? Sollten sich einige finden. Passt in die Automobil-Großwetterlage. Traurig. Bitte auch die Asiaten und Franzosen mal unter die Lupe nehmen.
Die VW sind nicht nur von der Security sondern auch von der UI und der Ergonomie bescheiden (grundsätzlich ist die Hardware zu langsam für die Software oder die Software ist grottenschlecht programmiert wenn man den Vergleich mit z.B. Teslas hat, wo alles taktiler, mehr snappy ist).
Am Schwerwiegendesten waren meine Erlebnisse mit Golf/Passat Mietfahrzeugen, wo ich immer mit dem Handballen auf die in der Leiste vor dem Display enthaltene Touch-Bedienelemente für Lüftung und Heizung gekommen bin. Eine Bedienung des Displays während der Fahrt ist schier unmöglich, weil ein wackelnder Finger ohne handballenabstützung kaum die viel zu kleinen Bedien-Elemente "erwischen" wird.
Ich habe mir bei dem Müll nur gedacht, testet das auch jemand in der Praxis?
Ich will einfach nur ein dummes Auto, ohne Gaggelfax. Und Telefonieren während der Autofahrt gehört meiner Meinung nach verboten. Aber der Zug ist wohl abgefahren. Und bei VW wundern sich alle, warum deren Müll immer weniger kaufen?
@Thomas Jakobs "Eine Bedienung des Displays während der Fahrt ist schier unmöglich, weil ein wackelnder Finger ohne handballenabstützung kaum die viel zu kleinen Bedien-Elemente "erwischen" wird. "
Das ist nun mehr als unverständlich.
Selbst bei Handy Apps mit Kfz Funktion ist das wesentliche Merkmal, dass die Touch Buttons groß genug sind. Das ist elementar.
Ist das bei den VW Ingenieuren Unfähigkeit oder nur Unwille ?
Was ist so unverständlich:
Wenn Du Dir das nachfolgende Bild anschaust:
https://blog.jakobs.systems/img/20220623-vw-ui.webp
wirst Du feststellen wie bescheiden die Touch-Buttons in der Leiste vor dem Display ist, wo sich normalerweise der Handballen der Hand auflegt damit die Bedienelemente des Displays bedienbar werden.
Selbst mit dem sichtbaren Ok-Button, der da schon einer der größeren Button im UI sein dürfte, wirst Du Schwierigkeiten haben diesen während der Fahrt zu treffen, weil dieser kaum höher als die Fingerfläche selbst ist und Du bei jeder Erschütterung daneben treffen wirst. In Menüs triffst Du dann die Buttons darüber oder daneben, weil diese auch dicht gepackt in drölfzig Leisten links, rechts oben und unten oder mitte sind. Deshalb musste ich den Handballen abstützen, deswegen habe ich geflucht als ich dabei gleichzeitig Lüftung/Heizung verstellte, deswegen habe ich genau wegen dieser (wiederholten) Begebenheit vor zwei Jahren das Bild gemacht. Gutes UI/UX geht defintiv anders.
Und nein es müssen weder Kopfsteinpflaster in einer Innenstadt noch schnelles Fahren sein. Normale Strassensitutionen reichen in unserer überall kaputt gesparten Infrastruktur aus.
Ich habe mich schon aufgeregt, wegen der Meldung an sich… ich will im Auto keine Datenschutzeinstellungen für "Datenübertragungen". Das Teil hat offline zu sein und keine persönlichen Daten zu verarbeiten, by Design and Default!
Vertrauliches bespricht man demnächst auch nicht mehr im Auto während der Fahrt sondern besser beim Spaziergang durch die Natur…
@Hr. Born
Wenn man den Kfz-Markt ansatzweise kennt geht man schon davon aus, dass eine Skoda-Schwachstelle auch bei VW vorhanden sei, aber mMn fehlt "VW" dennoch im Titel ("VW und Skoda").