Von Ferrari solange bis Ford plagen Cybersicherheits-Bugs die Fahrzeugsicherheit
[ad_1]
Eine Warteschlange von Autoherstellern von Acura solange bis Toyota sind von Sicherheitslücken in ihren Fahrzeugen geplagt, die es Hackern zuteil werden lassen könnten, gen personenbezogene Datenansammlung (PII) zuzugreifen, Eigentümer aus ihren Fahrzeugen auszusperren und sogar Funktionen wie dies Starten und Stoppen des Fahrzeugmotors zu übernehmen.
Laut einem Team von sieben Sicherheitsforschern, deren Bemühungen im Internet-Tagebuch des Sicherheitsspezialisten z. Hd. Webanwendungen, Sam Curry, detailliert beschrieben wurden, ermöglichten Schwachstellen in den internen Anwendungen und Systemen jener Autohersteller ihnen in einem Proof-of-Concept-Hack, Befehle nur mit jener VIN (Fahrzeugidentifikation) zu senden Nummer), die durch die Windschutzscheibe external des Autos zu sehen ist.
Insgesamt deckte dies Team ernsthafte Sicherheitsprobleme von Autoherstellern wie BMW, Ferrari, Ford, Volvo und vielen anderen in ganz Europa, Asien und den Vereinigten Staaten gen. Es wurden zweite Geige Probleme nebst Zulieferern und Telematikunternehmen festgestellt, darunter Spireon, dies GPS-basierte Fahrzeugortungslösungen entwickelt.
Ein Sprecher jener BMW Group sagt oppositionell Dark Reading, dass IT- und Datensicherheit z. Hd. dies Unternehmen „höchste Priorität“ nach sich ziehen und dass es seine Systemlandschaft kontinuierlich gen mögliche Schwachstellen oder Sicherheitsbedrohungen überwacht.
Jener Sprecher fügt hinzu, dass die in dem Berichterstattung erwähnte Schwachstelle seit dem Zeitpunkt Werden November berühmt sei und in Übereinstimmung mit BMWs “Sicherheitsstandardarbeitsanweisungen”, dh seinem Programmfehler-Bounty-Sendung, bearbeitet werde.
„Die relevanten angesprochenen Schwachstellen wurden intrinsisch von 24 Zahlungsfrist aufschieben geschlossen und wir nach sich ziehen keine Hinweise gen Datenlecks“, sagt jener Sprecher. „Keine fahrzeugbezogenen IT-Systeme waren betroffen oder kompromittiert. Es wurden keine Kunden- oder Mitarbeiterkonten jener BMW Group kompromittiert.“
Dies ist nur die neueste Sicherheitsbedenken, die ans Licht kommen. Im März entdeckte die Telemetrie des Sicherheitsunternehmens z. Hd. Industriesysteme Dragos Command-and-Control-Server von Emotet, die mit mehreren Systemen von Automobilherstellern kommunizierten. Die Schadsoftware wird vielmals qua Erstinfektionsvektor zum Speichern von Ransomware verwendet.
Im zwölfter Monat des Jahres wurde festgestellt, dass mindestens drei mobile Apps, die darauf zugeschnitten sind, dass Fahrzeugführer ihre Fahrzeuge aus jener Ferne starten oder entriegeln können, Sicherheitslücken veranschaulichen, die es nicht authentifizierten böswilligen Arten zuteil werden lassen könnten, genauso aus jener Ferne zu tun.
Autohersteller wiedererkennen die wachsende Gefahr nur langsam
Obwohl Sicherheitslücken seit dem Zeitpunkt einiger Zeit ein Themenkreis in jener Gewerbe sind (zurückgehend gen Charlie Miller und Chris Valaseks berüchtigten Jeep-Hack im Jahr 2015, jener nebst Black Hat USA präzise beschrieben wurde), nach sich ziehen die Autohersteller die potenzielle Schwere jener Entwicklungen nur langsam erkannt, sagt Gartner Automotive Branchenanalyst Pedro Pacheco.
Er erklärt, dass Autohersteller beim Übertragung zu Softwareentwicklern Schwierigkeiten nach sich ziehen, aufgebraucht Punkte dieses Entwicklungszyklus anzugehen – einschließlich jener Sicherheit.
“Eine sehr einfache Vorstellung ist, wenn Sie nicht gut in Software sind, werden Sie wahrscheinlich nicht sehr gut darin sein, jene Software sicher zu zeugen”, sagt er. “Dasjenige ist garantiert.”
Basta seiner Sicht sind die Autohersteller zweite Geige zu selbstgefällig, wenn es drum geht, Sicherheitslücken sofort zu angehen und zu patchen.
„Die Autohersteller betrachten dies lieber reaktiv qua proaktiv und sagen im Grunde, dass wir uns um die kleine Menge betroffener Kunden kümmern und dies Problem losmachen und dann die Gesamtheit wieder normal wird“, sagt er. “So denken viele Autohersteller.”
Da Autohersteller immer komplexere Ökosysteme prosperieren, die Kunden mit App Stores verbinden und sie mit ihren Smartphones und anderen vernetzten Geräten verbinden, steigt jener Hinterlegung.
„Dasjenige ist jener Grund, warum Cybersicherheit immer mehr zu einem drängenden Themenkreis wird“, sagt er. “Je mehr dies Fahrzeug dies Kutschieren übernimmt, umso mehr Möglichkeiten gibt es natürlich, dass dies gegen den Kunden und gegen den Autohersteller verwendet werden kann. Dasjenige ist noch nicht passiert, nunmehr es könnte sehr wohl in jener Zukunft vorbeigehen.”
John Bambenek, Principal Threat Hunter nebst Netenrich, fügt ein weiteres Problem hinzu: Wenn sich die Technologie weiterentwickelt, implementieren die Autohersteller sie in ihre Fahrzeuge, im Vorfeld die Technologie wirklich überprüft wurde.
„Web-Apps nach sich ziehen ihre eigenen Sicherheitsbedenken, die sich von diesem Kommunikationsweg unterscheiden“, erklärt er. „Selbst muss nicht den gesamten Kommunikationsstapel besitzen. Selbst muss nur eine Schwachstelle finden, und die Forscher finden sie weiterhin. Die Wirklichkeit ist, dass die Gesamtheit mit defektem Klebeband und Sicherungsdraht zusammengefügt ist – dies war von jeher so.“
Er weist darauf hin, dass je mehr Sachen online gestellt werden, umso mehr Möglichkeiten z. Hd. Kriminelle offenstehen.
„In diesem Sachverhalt mache ich mir weniger Sorgen um Cyberkriminelle qua vielmehr um Stalker und desgleichen“, sagt er. „Dies eröffnet ein neues Literaturform jener digitalen Sekkatur, dies notfalls schwergewichtig zu verfolgen und schwerer zu verfolgen ist. Hier liegt meiner Meinung nachher dies eigentliche Risiko.“
Automobilsicherheit durch Vorschriften vorschreiben
Hilfe ist jedoch unterwegs. Pacheco weist gen die Hypothese jener UN-Verordnung Nr. 155 hin, die sich gen die Vorgabe von Standards z. Hd. die Cybersicherheit im Automobilbereich konzentriert, die im Juli in Macht trat und in Nippon und Südkorea durchgesetzt wird – insgesamt 60 Länder werden jene Verordnung letztendlich durchsetzen.
„Dies ist ein neuer Aufbruch z. Hd. die Cybersicherheit in jener Automobilindustrie, denn ab diesem Zeitpunkt wird die Cybersicherheit im Fahrzeug gesetzlich vorgeschrieben“, sagt er. „Basta diesem Grund nach sich ziehen viele Autohersteller schon viel Geld und Zeit in den Gliederung neuer Cybersicherheits-Managementsysteme in Übereinstimmung mit dieser Verordnung investiert.“
Er erklärt, dass in Übereinstimmung mit jener Verordnung aufgebraucht drei Jahre dies Cybersicherheits-Managementsystem des Autoherstellers eines bestimmten Fahrzeugs von den Behörden geprüft werden muss, um zu beurteilen, ob es jener Verordnung entspricht oder nicht.
„Jetzt werden wir viel mehr Sachen in jener Cybersicherheit vorbeigehen sehen qua in jener Vergangenheit, weil es solange bis 2022 irgendwas lockerer war“, sagt er.
Er rät Autoherstellern, nicht aufgebraucht drei Jahre mit jener Überarbeitung ihrer Sicherheit zu warten, sondern ihre Sicherheitssoftware schrittweise zu updaten und zu verbessern.
„Sie zu tun sein die Messlatte in Bezug gen die Leistung ihres Cybersicherheits-Managementsystems immer höher legen“, sagt Pacheco. „Dies bedeutet, die beste Cybersicherheitstechnologie in Bezug gen Hardware und Software in dies Fahrzeug einzubauen und ein fortschrittliches Betriebszentrum z. Hd. die Fahrzeugsicherheit zu betreiben.“
Autohersteller zu tun sein ihren Arbeitsweise ändern
Pacheco erklärt, dass die Gewerbe in Bezug gen Cybersicherheit vereinigen Wendepunkt erreicht – nunmehr dass die Verbesserung jener Automobilsicherheit vereinigen kulturellen Wandel erfordert.
„Letztendlich fängt es immer mit einer Mentalität an, dies heißt, wenn man eine gewisse Gefahr hat, muss jene hauptsächlich qua Gefahr wahrgenommen werden“, sagt er. “Damit zu tun sein sie lancieren.”
Dies könnte so einfache Aktionen wie die Umsetzung eines Wettbewerbs unter White-Hat-Hackern zusammenfassen, um nachher Schwachstellen zu suchen, die sie in diesem Fahrzeug finden können.
„Vor allem die Autohersteller zu tun sein sehr ungeschützt z. Hd. die Monolog sein [these] Schwachstellen und Cybersicherheitsprobleme”, sagt Pacheco. “Leider nach sich ziehen mehrere Autohersteller eine Kultur, jene Probleme zu verbergen.”
Er warnt davor, dass sich die Gewerbe einem Zähler nähert, an dem die Autohersteller immer weniger Spielraum nach sich ziehen, um gen dies Sichtbar werden jener Probleme zu warten.
„Wenn sie keine erheblichen Schritte zur Verbesserung jener Cybersicherheit unternehmen, wird ihnen dies in Zukunft sehr schaden“, sagt er.