Argus Cyber Security arbeiten mit Bosch an der Förderung der öffentlichen Sicherheit und dem Verhindern von Auto-Hacking
TEL AVIV, Israel und STUTTGART, Deutschland, April 13, 2017 /PRNewswire/ --
Die branchenführende Cyber-Forschungsgruppe von Argus fand Sicherheitslücken im Bosch Drivelog Connector Dongle und dem Authentifizierungsprozess mit der Drivelog Connect App, worüber sie Bosch unmittelbar informierten und das Unternehmen sofortige Maßnahmen zur Beseitigung der Schwachstellen ergriff.
(Logo: http://photos.prnewswire.com/prnh/20160721/391784LOGO )
Argus Cyber Security, das weltweit größte unabhängige Unternehmen für Automobil-Cybersicherheit, und Bosch, der weltweit führende Anbieter von Technologie und Dienstleistungen, gaben heute bekannt, dass Argus-Forscher Sicherheitslücken im Bosch Drivelog Connector Dongle und im Authentifizierungsprozess mit der Drivelog Connect Smartphone-App entdeckt haben. Durch Ausnutzung dieser Schwachstellen war es den Sicherheitsforschern über Bluetooth möglich, die Kontrolle über das Auto zu ergreifen. Nach einer verantwortungsvollen Offenlegung von Argus an Bosch hat das Product Security Incident Response Team (PSIRT) entscheidende und sofortige Maßnahmen zur Bewältigung der Schwachstellen ergriffen.
Der Argus-Forschergruppe gelang es, über einen im Fahrzeug installierten Bosch Drivelog Connector Dongle, die ferngesteuerte Kontrolle über sicherheitskritische Fahrzeugsysteme zu übernehmen. Eine Schwachstelle, die im Authentifizierungsprozess zwischen dem Dongle und der Drivelog Connect Smartphone-App gefunden wurde, ermöglichte es Argus-Forschern, den Sicherheitscode innerhalb von Minuten zu ermitteln und von einem Standard-Bluetooth-Gerät - wie einem Smartphone oder Laptop - aus mit dem Dongle zu kommunizieren. Nach dem Zugriff auf den Kommunikationskanal konnten die Argus-Forscher die Nachrichtenbefehlsstruktur duplizieren und böswillige Nachrichten in das fahrzeuginterne Netzwerk einspeisen. Durch effektives Umgehen des sicheren Nachrichtenfilters, der entworfen wurde, um nur bestimmte Nachrichten zuzulassen, ermöglichten es diese Schwachstellen der Argus-Forschungsgruppe, die Kontrolle über ein sich bewegendes Auto zu übernehmen, was durch ein ferngesteuertes Abstellen des Motors demonstriert wurde.
Ein vollständiger technischer Bericht über den Angriff hat Argus auf seinem Blog veröffentlicht.
"Argus richtet sein Hauptaugenmerk darauf, dass Fahrzeuge vor Cyberangriffen geschützt sind. Durch unsere kontinuierliche Zusammenarbeit mit globalen Tier-1-Lieferanten und Automobilherstellern sind wir in der Lage, der Automobilindustrie die modernsten Cyber-Sicherheitslösungen anzubieten", sagte Yaron Galula, CTO und Mitbegründer von Argus. "Die Bosch-Entdeckung zeigt, dass auf Kryptographie basierende Lösungen, auch wenn diese von führenden Branchengrößen entwickelt wurden, nicht absolut sicher sind und dass mehrschichtige Abwehrmaßnahmen getroffen werden müssen, um Fahrzeuge effektiv vor Cyber-Bedrohungen zu schützen."
Unmittelbar nachdem Argus die Schwachstellen in Bezug auf Cybersicherheit im Bosch Drivelog Connector Dongle gefunden hatte, wurde Bosch ordnungsgemäß darüber informiert. Das Maß an Aufmerksamkeit, das dieser Vorfall von der obersten Führungsebene von Bosch erhielt, war signifikant, und das Product Security Incident Response Team reagierte schnell, damit die Probleme sofort von den Sicherheits- und Entwicklungsabteilungen des Unternehmens angegangen werden konnten.
Bosch dankt dem Argus-Team für die verantwortungsvolle Offenlegung dieser Schwachstellen und dessen Hilfe während des gesamten Prozesses. "Bosch nimmt Sicherheit sehr ernst. Als Argus uns über die Sicherheitslücken informierte, haben wir sofort Maßnahmen ergriffen, um den Problemen nachzugehen und beizukommen", sagte Thorsten Kuhles, Leiter des Bosch Product Security Incident Response Teams (PSIRT). Kurz nach dem Erhalt der Benachrichtigung hat Bosch bereits eine erste Problembehebung umgesetzt. Es ist wichtig zu beachten, dass die Skalierbarkeit eines potentiellen bösartigen Angriffs durch die Tatsache begrenzt ist, dass ein solcher Angriff eine physische Nähe zum Dongle erfordert. Dies bedeutet, dass sich das angreifende Gerät innerhalb des Bluetooth-Bereichs des Fahrzeugs befinden muss. Darüber hinaus erfordert ein erster Angriff, dass man über die Brute-Force-Methode an die zugehörige PIN eines Dongles gelangt und eine bösartige CAN-Nachricht sendet, die den Beschränkungen des Dongles und des Fahrzeugs entspricht. "Um die Sicherheit weiter zu erhöhen, wird in Kürze ein Patch verfügbar sein, der die zugrunde liegenden Schwächen im Verschlüsselungsprotokoll beseitigt. Dieser Patch wird die von Argus beschriebene Art von Angriff verhindern", fügte Kuhles hinzu. Darüber hinaus finden zusätzliche Anstrengungen statt, um die Möglichkeit des Versendens unerwünschter CAN-Nachrichten weiter einzudämmen. Das Ergebnis sowie weitere Verbesserungen werden im Laufe des Jahres implementiert.
Weitere Informationen finden Sie in der entsprechenden Bosch Sicherheitsempfehlung.
Informationen zu Argus:
Argus ist das weltweit größte unabhängige Unternehmen für Automobil-Cybersicherheit. Die umfassenden und bewährten Lösungs-Suites von Argus schützen vernetzte Personenkraftwagen und Nutzfahrzeuge vor Cyberangriffen. Mit jahrzehntelanger Erfahrung in den Bereichen Cybersicherheit und Automobilindustrie bietet Argus innovative Sicherheitsmethoden und bewährtes Computernetzwerk-Know-how mit fundierter Kenntnis der Best Practices in der Automobilindustrie. Zu seinen Kunden zählen Autohersteller, ihre Tier-1-Zulieferer und Anbieter von Aftermarket-Konnektivität. Argus wurde 2013 gegründet, sein Hauptsitz befindet sich in Tel Aviv, Israel, und das Unternehmen unterhält Niederlassungen in Michigan, Silicon Valley, Stuttgart und Tokio. Weitere Informationen finden Sie unter argus-sec.com.
Informationen zu Bosch:
Die Bosch-Gruppe ist ein international führendes Technologie- und Dienstleistungsunternehmen mit weltweit rund 390.000 Mitarbeitern (Stand: 31.12.2016). Sie erwirtschaftete im Geschäftsjahr 2016 nach vorläufigen Zahlen einen Umsatz von 73,1 Milliarden Euro. Die Aktivitäten gliedern sich in die vier Unternehmensbereiche Mobility Solutions, Industrial Technology, Consumer Goods sowie Energy and Building Technology. Die Bosch-Gruppe umfasst die Robert Bosch GmbH und ihre rund 450 Tochter- und Regionalgesellschaften in rund 60 Ländern. Inklusive Handels- und Dienstleistungspartnern erstreckt sich der weltweite Fertigungs-, Entwicklungs- und Vertriebsverbund von Bosch über fast alle Länder der Welt. Weitere Informationen finden Sie online unter http://www.bosch.com.
Kontakt für Argus:
Brandon Weinstock
[email protected]
+1-914-336-4878
Kontakt für Bosch:
Annett Fischer
[email protected]
+49-7062-911-7837
WANT YOUR COMPANY'S NEWS FEATURED ON PRNEWSWIRE.COM?
Newsrooms &
Influencers
Digital Media
Outlets
Journalists
Opted In
Share this article