APT und gezielte Angriffe
API-Angriff erteilt Befehle ans Auto
Die Vorführung eines Angriffsszenarios über APIs im Fahrzeug zeigt, wie nicht behobene Sicherheitslücken und laxe Sicherheitsmaßnahmen zu Landminen im expandierenden Fahrzeug-Ökosystem werden.
Save to Folio
Wir haben bereits aufgezeigt, wie sich Sicherheitslücken in Ladestationen für E-Fahrzeuge von böswilligen Akteuren ausnutzen lassen. Leider sind es nicht die einzigen Sicherheitsrisiken, die von Schwachstellen ausgehen. So stellen die APIs, über die eine Interaktion mit anderen Fahrzeugen und Systemen möglich ist, eine weitere Gefahr dar.
Die API-Angriffsoberfläche
Fahrzeuge sind immer stärker auf Daten, Konnektivität und andere Technologien angewiesen. So ist es beispielsweise fast schon üblich, dass sie - wie Mobiltelefone - SIM-Karten besitzen, entweder physische oder virtuelle, die eine Interaktion mit anderen Fahrzeugen und Systemen ermöglichen. Ein Beispiel für eine solche Interaktion ist die Anweisung vom Fahrer an sein Auto zu hupen. Dieser Befehl wird vom Mobiltelefon des Besitzers an den nächstgelegenen Funkmasten und dann an den Backend-Server des Herstellers übertragen, bevor er an das Telematik-Steuergerät des Fahrzeugs weitergeleitet wird, das den Befehl an die Komponente zur Steuerung der Hupe weiterleitet. Die Anweisung durchläuft so viele Stellen in fast einem Augenblick.
Deshalb muss unter Sicherheitsaspekten immer geprüft werden, wo etwas schief gehen und wie ein Angreifer diesen Informationsfluss gefährden könnte, sei es durch eine Schwachstelle oder einen Cyberangriff.
Ein Angriffsszenario
Ein Angriffsszenario soll zeigen, was Angreifer mit kompromittierten Anmeldeinformationen tun können. Dafür sind wir in den Besitz der Zugangsdaten für ein Konto in einem Fahrzeug am anderen Ende der Welt gekommen und simulieren einen Fernangriff von einem kompromittierten Konto aus, der zeigt, dass die Entfernung in einem solchen Szenario keine Rolle spielt.
Anmeldedaten können durch Phishing-Techniken oder Cyberangriffe wie Ransomware kompromittiert werden. Fahrzeugflotten werden häufig als allgemeine Assets verwaltet, obwohl sie einen hohen finanziellen Wert haben und Risiken für den Datenschutz bergen.
Mit den Anmeldedaten des Zielfahrzeugs lassen sich verschiedene Art von Anfragen über die APIs des Fahrzeugs stellen. Unsere Versuche ergaben etwa, dass einige der Befehle die Abfrage des Status der Fahrzeugtüren und das remote Starten des Fahrzeugs beinhalten.
Glücklicherweise wurden die von uns gemachten Tests unter kontrollierten Bedingungen durchgeführt. Sollten diese Sicherheitslücken jedoch nicht behoben werden und die Nutzer sich der Risiken nicht bewusst sein, könnten sich diese Szenarien sehr wohl auf der Straße wiederholen.
Fazit
Nachrichten über Datenschutzverletzungen, Systemkompromittierung und Schwachstellen in der Automobilindustrie sollten die Dringlichkeit einer strengeren Cybersicherheit vor Augen führen. Um einen Vorsprung vor Bedrohungen zu haben, solange diese noch hypothetische Szenarien sind, ist es notwendig, die Bedrohungsanalyse und -forschung zu verstärken.
Die aufgezeigten Schwachstellen könnten durch die Umsetzung einfacher Sicherheitsmaßnahmen vermieden werden. Dieses Angriffsszenario verdeutlicht ebenfalls einige Sicherheitspraktiken, die dazu beitragen können, das Risiko ähnlicher Angriffe zu verringern, wie z. B:
- Bessere Autorisierung. Automobilhersteller (OEMs) sollten strengere Sicherheitsmaßnahmen einführen, damit bestimmte Informationen, wie z. B. die Fahrzeugidentifikationsnummer (VIN), nicht für gültige API-Aufrufe verwendet werden können, wenn sie nach außen dringen.
- Bessere Authentifizierung. Maßnahmen wie die Multifaktor-Authentifizierung (MFA) können eine zusätzliche Schutzebene schaffen, die es böswilligen Akteuren erschwert, API-Aufrufe zu tätigen.
- Besseres Logging und Monitoring. Alle API-Aufrufe müssen protokolliert werden, so dass der OEM den Besitzer warnen kann, wenn API-Aufrufe weit vom Standort des Fahrzeugs entfernt erfolgen.
Weitere Diskussionen über die Risiken sowie eine Vorführung des API-Angriffsszenarios bietet diese Video.