Intellias
Fallstudie

Beurteilung der Sicherheit einer Kfz-Haupteinheit

Wir erbrachten eine bewährte Lösung, um die Sicherheit und digitale Sicherheit von Hightech-Autos zu erhöhen

Key features

  • Gewährleistung der Fahrsicherheit durch Bewertung von Schwachstellen in der Haupteinheit

    Gewährleistung der Fahrsicherheit durch Bewertung von Schwachstellen in der Haupteinheit

  • Überprüfung der Ausfallsicherheit der Smartphone-/Fahrzeugkommunikation

    Überprüfung der Ausfallsicherheit der Smartphone-/Fahrzeugkommunikation

  • Erkennen potenzieller Sicherheitslücken im CAN-Bus

    Erkennen potenzieller Sicherheitslücken im CAN-Bus

Branche:
Automobil, Datensicherheit
Hauptsitz:
Deutschland
Markt:
Global
Teamgröße:
4 Mitglieder
Zusammenarbeit:
4 Monate
Technologies:

Arpspoof / dex2jar / IDA Pro / Java Decompiler / Kali Linux / mitmproxy / Nmap / Python / Wireshark

Über den Kunden

Unser Kunde ist ein deutscher Automobilhersteller mit einem Jahresumsatz von mehreren Millionen Autos auf fünf Kontinenten. Das Unternehmen, das mehrere Marken führt, produziert eine breite Palette von Verbrennungsmotor- und Elektrofahrzeugen, von Motorrädern, Familienlimousinen und SUVs bis hin zu luxuriösen Sportwägen, Lieferwägen sowie leichten und schweren Nutzfahrzeugen. Unser Kunde ist ein langjähriges Mitglied der Fortune Global 500-Liste und hat sein Ranking von Jahr zu Jahr kontinuierlich verbessert.

Beurteilung der Sicherheit einer Kfz-Haupteinheit

Unser Kunde kam mit einer Herausforderung

Moderne Autos sind vollgepackt mit Hightech-Spielereien; sie sind wirklich vernetzte Informationssysteme auf Rädern. Motorsteuerungen, Onboard-Diagnose, aktive Sicherheitssysteme, Infotainment-Systeme – das durchschnittliche Auto hat heute mehr Rechenkapazität als das Leitsystem des Apollo-Raumschiffs. Und mit dieser Komplexität steigt auch die Anfälligkeit für Hackerangriffe und Verletzungen der Privatsphäre.

Vor diesem Hintergrund wollte unser Kunde eine Cybersicherheitsbewertung des Infotainment-Systems durchführen, das in seinem Familienauto-Sortiment installiert ist. Ziel war es, die allgemeine Anfälligkeit für Einbrüche in sicherheitskritische Fahrzeugteilsysteme durch unsichere Datenübertragung im Fahrzeug zu ermitteln.

Intellias entwickelte die Lösung

Aufgrund des hohen Bekanntheitsgrades des Kunden und des Projekts bildeten wir ein Team aus erfahrenen Sicherheitsexperten und Testingenieuren, die jeweils die Zertifizierungen Certified Ethical Hacking (CEH) und Offensive Security Certified Professional (OSCP) haben. Die Hauptaufgabe unseres Teams bestand darin, die Anforderungen zu analysieren und eine starke Teststrategie zu entwickeln. Die eigentliche Prüfung beinhaltete Angriffe auf ein reales Fahrzeug, das auf der Teststrecke unseres Kunden simuliert wurde.

Unser Team verbrachte rund einen Monat vor Ort in Deutschland und führte eine Reihe von Tests durch. Diese Tests konzentrierten sich auf die Beurteilung der Sicherheit bestimmter Teile des Infotainment-Systems im Fahrzeug. Besonderes Augenmerk legten wir auf bestimmte Haupteinheitsdienste, die drahtlos über geschützte mobile Anwendungen betrieben werden. Im Rahmen unserer Tests versuchten wir in die inneren Systeme des Autos einzudringen, indem wir den Verkehrsfluss zwischen einem Smartphone und der Haupteinheit abfangen und darin eingreifen.

Unsere Ingenieure haben auch Reverse-Engineering-Techniken auf Teile der Software der Haupteinheit angewandt. Als Ergebnis haben wir überprüft, wie die internen Dienste der Haupteinheiten funktionieren und haben gelernt, wie wir unsere Sicherheitstests besser aufbauen können.

Intellias führte die folgenden Sicherheitstests an einem echten Auto durch: 

  • Angriffe auf kritische Fahrzeugteilsysteme, einschließlich Bremsen und Lenkung, über die Haupteinheit
  • Untersuchung des CAN-Bus und seiner Angriffsmöglichkeiten
  • Analyse von TCP/IP und Ethernet im Fahrzeug
  • TCP über USB- und Remote-Angriffe auf Dienste, die im gleichen Netzwerksegment verfügbar sind
  • Erkennung von unsicheren Datenübertragungen im Auto
  • DoS-Angriffe auf das Infotainment-System
  • Schnittstellentests mit Angriffen auf MirrorLink, Android Auto und Apple CarPlay
  • Verschiedene XML-Angriffe auf interne Autoservices

Gemeinsam erzielten wir großartige Ergebnisse

Das Ergebnis unserer Zusammenarbeit war ein umfassender Bericht, der die identifizierten Schwachstellen zusammen mit detaillierten Beweisen und Beschreibungen zur Reproduktion der Angriffe aufzeigt. Als künftige Referenz während der Entwicklung gaben wir unserem Kunden Empfehlungen, wie die Sicherheit von Software für Haupteinheiten und mobilen Anwendungen für das Zusammenspiel Smartphone-Auto erhöht werden kann.

Unsere Erkenntnisse halfen unserem Kunden

  • mehrere mittlere bis kritische Sicherheitsfragen zu korrigieren, einschließlich eines, das eine potenzielle Sicherheitsbedrohung darstellte
  • anfällige Teile der Software für Haupteinheiten zu überarbeiten
  • ihre Autos vor DoS-Angriffen zu schützen
  • potenzielle Sicherheitslücken zu schließen, die für getarnte, diskreditierende Angriffe unehrlicher Wettbewerber ausgenutzt werden könnten
  • sicherere Architekturen für zukünftige fahrzeugbezogene Softwareprodukte zu erstellen

 

Danke für Ihre Nachricht.
Wir melden uns in Kürze bei Ihnen.